Internet Explorer nie może wyświetlić strony z apache z pojedynczym wirtualnym hostem SSL

10

Mam pytanie, które pojawiło się w jakiś sposób w różnych pytaniach, ale wciąż nie mogę znaleźć rozwiązania.

Mój problem polega na tym, że hostuję witrynę na Apache 2.4 na Debianie z SSL i Internet Explorer 7 na Windows XP

Internet Explorer cannot display the webpage

Mam tylko JEDEN wirtualny host, który używa ssl, ale RÓŻNE wirtualne hosty, które używają http. Oto moja konfiguracja witryny z włączonym SSL (etc / sites-avaible / default-ssl NIE jest połączony)

<Virtualhost xx.yyy.86.193:443>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  DocumentRoot "/var/local/www/my-certified-domain.de/current/www"
  Alias /files "/var/local/www/my-certified-domain.de/current/files"

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  <Directory "/var/local/www/my-certified-domain.de/current/www">
    AllowOverride All
  </Directory>

  SSLEngine on
  SSLCertificateFile /etc/ssl/certs/www.my-certified-domain.de.crt
  SSLCertificateKeyFile /etc/ssl/private/www.my-certified-domain.de.key
  SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

  SSLCertificateChainFile /etc/apache2/ssl.crt/www.my-certified-domain.de.ca

  BrowserMatch "MSIE [2-8]" nokeepalive downgrade-1.0 force-response-1.0
</VirtualHost>

<VirtualHost *:80>
  ServerName www.my-certified-domain.de
  ServerAlias my-certified-domain.de

  CustomLog /var/log/apache2/access.my-certified-domain.de.log combined

  Redirect permanent / https://www.my-certified-domain.de/
</VirtualHost>

mój ports.conf wygląda następująco:

NameVirtualHost *:80
Listen 80

<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    Listen 443
</IfModule>

<IfModule mod_gnutls.c>
    Listen 443
</IfModule>

dane wyjściowe apache2ctl -Ssą takie:

xx.yyy.86.193:443      www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:1)
wildcard NameVirtualHosts and _default_ servers:
*:80                   is a NameVirtualHost
         default server phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost phpmyadmin.my-certified-domain.de (/etc/apache2/conf.d/phpmyadmin.conf:3)
         port 80 namevhost staging.my-certified-domain.de (/etc/apache2/sites-enabled/010-staging.my-certified-domain.de:1)
         port 80 namevhost testing.my-certified-domain.de (/etc/apache2/sites-enabled/015-testing.my-certified-domain.de:1)
         port 80 namevhost www.my-certified-domain.de (/etc/apache2/sites-enabled/020-my-certified-domain.de:31)

Dołączyłem rozwiązanie tego pytania: Internet Explorer nie może wyświetlić strony, inne przeglądarki mogą, prawdopodobnie htaccess / server error

I rozumiem odpowiedź z tego pytania:

Jak skonfigurować Apache NameVirtualHost na SSL?

W rzeczywistości: Mam tylko jeden certyfikat ssl dla domeny. Chcę tylko uruchomić JEDEN wirtualny host z ssl. Chcę tylko użyć jednego adresu IP dla wirtualnego hosta ssl. Ale nadal (po ponownym uruchomieniu / ponownym uruchomieniu / testowaniu) przeglądarka internetowa nadal nie wyświetla strony.

Kiedy również interpretuję apachectl -S, mam już tylko jednego hosta SSL, co powinno odpowiedzieć na początkowy uścisk dłoni SSH, prawda?

Co jest nie tak w tej konfiguracji?

Dziękuję bardzo Filip

Aktualizacja: działa we wszystkich innych przeglądarkach. Debugowałem za pomocą wireshark, a serwer wysyła ostrzeżenie, aby powiadomić o zamknięciu połączenia. Ale nie widzę problemu w dziennikach

pscheit
źródło
2
Co jest rejestrowane w logach serwera? Również… poważnie? IE na XP po prostu będzie zawieść, coraz bardziej z czasem. Jest już po zakończeniu życia i nie jest już wspierany. Prawdopodobnie nie powinieneś spędzać na tym dużo czasu.
Michael Hampton
Czy to działa w dowolnej przeglądarce? Rozumiem NXDOMAIN, kiedy próbuję uzyskać do niego dostęp.
kasperd
działa ze wszystkimi innymi przeglądarkami. Dzienniki pokazują NIC (dwukrotnie sprawdziłem każdy
plik

Odpowiedzi:

2

Czy działa w innych przeglądarkach, na przykład Firefox na WinXP, IE7 na Vista / 7/8, IE8 +, iOS, Android?

Jeśli tak, to podejrzewasz, że Twój pakiet szyfrów może być zbyt restrykcyjny / nowoczesny, aby pozwolić IE7 / XP. Zmuś bazę użytkowników do aktualizacji przeglądarki / systemu operacyjnego lub ponownie skonfiguruj SSLCipherSuite:

Zobacz https://github.com/client9/sslassert/wiki/IE-Supported-Cipher-Suites

Zobacz także możliwą poprawkę błędu / KB WinXP: http://support.microsoft.com/kb/2541763/en-us

Może spróbuj:

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4

(znaleziono powyżej na https://raymii.org/s/tutorials/Strong_SSL_Security_On_Apache2.html )

Joshua Huber
źródło
zmiana szyfru nie pomaga. Sprawdzam, czy zainstalowanie dodatku Service Pack naprawi ten problem. Ale mój klient ma klientów, którzy nie są w stanie zaktualizować ...
pscheit
Zakładając, że twój host jest dostępny przez Internet, spróbuj uruchomić Qualys SSL Labs - test serwera SSL na swoim serwerze. ssllabs.com/ssltest Przed rozpoczęciem skanowania zaznacz pole na tej stronie z napisem „Nie pokazuj wyników na tablicach”, jeśli nie chcesz, aby Twój skan był opublikowany. Skanowanie zajmie minutę lub dwie, ale pokaże wyniki negocjacji wielu różnych klientów internetowych. Chciałbym zobaczyć, co mówi dla IE7.
Joshua Huber
Wynik jest IE 6 / XP No FS 1 No SNI 2 SSL 3 TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa) No FS 11taki : więc NIE SNI jest oczywiście prawdą. FS wydaje się również nie mieć znaczenia (po prostu miło mieć funkcję bezpieczeństwa, jeśli mam rację). W każdym razie jest to bardzo dobry test, dzięki za link
pscheit