16 votes

Devon_C_Miller avatar

Pourquoi Internet Explorer 11 est-il incapable de se connecter à des sites HTTPS lorsque TLS 1.2 est activé ?

Demandé el 22 de Mars, 2015
Quand la question a-t-elle été
73309 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Normalement, je n'utilise pas du tout Internet Explorer. Je ne l'utilise qu'au moment de la conception pour les tests d'interface (machine de développement et avec http non crypté). Chaque semaine, j'exécute le test serveur SSL Labs qui indique qu'IE11 est capable d'accéder à mes sites.

Aujourd'hui, j'ai découvert un problème avec l'un de mes services tiers. Une fonction spéciale ne fonctionnant pas avec Chrome ou Firefox, j'ai lancé IE11 sur ma machine Windows 7. Et IE11 me montre une page d'erreur intégrée qui dit simplement "la page n'a pas pu être affichée". Et le bla bla typique comme vérifier le DNS et ainsi de suite. Il n'y avait absolument aucun signe d'un problème lié au cryptage sur toute la page d'erreur (comme le ferait un navigateur normal).

Il y a deux mois, il y avait ceci schannel qui empêche les IE compatibles TLS1.2 d'accéder aux sites HTTPS. À partir de ce moment, ma "liste de contrôle WTF pour IE" contient "désactiver TLS1.2" comme point de contrôle. Et qu'est-ce que je dois dire... La désactivation de TLS1.2 dans IE a fonctionné et mon site est à nouveau disponible. . Mais je ne peux pas le faire sur les navigateurs de mes visiteurs.

Passons maintenant aux vraies questions : Pourquoi Internet Explorer 11 ne parvient pas à se connecter à mon site HTTPS lorsque TLS 1.2 est activé dans IE ? Et comment le corriger du côté du serveur ? SSL Labs dit que tout va bien sur mon site .

Imporant Edit : Il semble qu'IE11 ne puisse gérer que les domaines sans préfixe et non les domaines avec préfixe lorsque TLS1.2 est activé. le domaine sans préfixe (www) fonctionne tandis que le domaine incluant le préfixe (www) ne fonctionnera pas .

Côté serveur, j'utilise debian/7 nginx/1.7.8 openssl/1.0.1e

Les chiffres disponibles sont : ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

Demandé el 22 de Mars, 2015 par Devon_C_Miller

Réponses

Trop de publicités?

5voto

John Ball avatar
John Ball Points 471

SSL 2.0 est-il également activé ?

Selon http://support.microsoft.com/en-us/kb/2851628 "SSL 2.0 et TLS 1.2 ne sont pas compatibles entre eux dans les systèmes d'exploitation Windows 7 et suivants. Pour utiliser des certificats côté client afin d'établir une connexion HTTPS sur TLS 1.2, vous devez désactiver SSL 2.0".

Répondu el 30 de Mars, 2015 par John Ball (471 Points )

3voto

aaron-bru avatar
aaron-bru Points 31

J'ai rencontré ce problème aujourd'hui avec IE11 sur Win 7 (entièrement mis à jour avec les mises à jour importantes, mais pas les mises à jour optionnelles), en utilisant La suite intermédiaire de Mozilla qui fonctionne parfaitement avec IE8 sous XP et est censé fonctionner avec IE7+. J'ai pensé que je posterais ici est cette question ne tourne pas beaucoup d'autres sur Google.

J'ai passé du temps avec wireshark pour déterminer les modifications minimales à apporter pour que ça fonctionne. Disclaimer : Je ne suis pas un expert en cryptographie, il pourrait y avoir une meilleure façon de le faire. Mais cela n'a pas du tout changé mon évaluation de ssllabs.com.

Déplacer ECDHE-RSA-AES128-SHA256 (le premier qui fonctionne pour IE11) au-dessus de kEDH+AESGCM et DHE-RSA-AES128-GCM-SHA256, pour la suite intermédiaire résultant :

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
Répondu el 22 de Août, 2015 par aaron-bru (31 Points )

0voto

T.Todua avatar
T.Todua Points 194

La seule solution J'ai trouvé : http://www.techsupportall.com/solved-cannot-access-secure-sites-https-websites-not-opening-view/
Il y a des instructions sur la façon de REGSVR à Internet Explorer.

Répondu el 21 de Mai, 2015 par T.Todua (194 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X