TLS 1.2가 활성화 된 경우 Internet Explorer 11이 HTTPS 사이트에 연결할 수없는 이유는 무엇입니까?


15

일반적으로 Internet Explorer는 전혀 사용하지 않습니다. 인터페이스 테스트 (개발 시스템 및 암호화되지 않은 http)를 위해 디자인 타임에만 사용합니다. 매주 SSL11 서버 테스트를 실행하여 IE11이 내 사이트에 액세스 할 수 있습니다.

오늘 저는 타사 서비스 중 하나에 문제가 있음을 발견했습니다. 일부 특수 기능이 Chrome 또는 Firefox에서 작동하지 않으므로 Windows 7 컴퓨터에서 IE11을 시작했습니다. 그리고 IE11은 내장 오류 페이지 마녀를 기본적으로 "페이지를 표시 할 수 없습니다"라고 표시합니다. 그리고 DNS 등을 확인하는 것과 같은 전형적인 더미가 있습니다. 전체 오류 페이지에서 암호화와 관련된 문제는 전혀 없었습니다 (일반 브라우저처럼).

두 달 전 schannelTLS1.2 지원 IE가 HTTPS 사이트에 액세스하지 못하게하는 이 문제 가있었습니다 . 이 시점부터 내 "IEF에 대한 WTF 체크리스트"에 "TLS1.2 비활성화"가 체크 포인트로 포함되어 있습니다. 그리고 IE에서 TLS1.2를 비활성화하면 내 사이트를 다시 사용할 수 있습니다 . 그러나 나는 내 방문자 브라우저 에서이 작업을 수행 할 수 없습니다.

이제 실제 질문에 대해 : 왜 IE에서 TLS 1.2가 활성화되어 있는데 Internet Explorer 11이 HTTPS 사이트 에 연결할 수 없습니까? 그리고 서버 측에서 수정하는 방법? SSL Labs는 내 사이트의 모든 것이 정상이라고 말합니다 .

중요 편집 : TLS1.2가 활성화 된 경우 IE11은 접두사가 아닌 도메인 만 처리하고 접두사가없는 도메인은 처리 할 수 ​​없습니다. 접두사 (www)가없는 도메인 은 작동 하지만 접두사 (www)를 포함 하는 도메인은 작동하지 않습니다 .

서버 측에서는 debian / 7 nginx / 1.7.8 openssl / 1.0.1e를 사용하고 있습니다.

사용 가능한 암호는 다음과 같습니다. ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA


3
인증서가 ssl.dev5media.de에 대해 중복 된 SAN 항목을 가지고 있습니다. 어쩌면 IE11이 그것에 대해 삐걱 거리는 것일까 요? 그 외에도 CN은 ssl.dev5media.de입니다. 즉, 설명하는 것처럼 접두사가 아닌 ssl 접두사가 있습니다.
Steffen Ullrich

@SteffenUllrich를 지적 해 주셔서 감사합니다. CN은 몇 주 전에 마지막 인증서 교체 전에 접두사가 없었습니다. 질문에서 CN 부분을 제거하겠습니다. 그러나 어쨌든 ... TLS1.2가 비활성화되면 작동합니다. 인증서 유효성 검사가 암호화 방법 구현 (TLS1.0, TLS1.1, TLS1.2)이 아닌 공유 라이브러리에 있지 않아야합니까?
burnersk

1
이 사이트 는 패키지 캡처에 따라 www.dev5media.deIE11, Win7 with TLS 1.2 및 cipher에서 나를 위해 작동합니다 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256. 어떤 OS를 사용하고 있으며 작업 이름과 비 작업 이름 모두에 대해 패킷 캡처를 수행하여 차이점을 확인할 수 있습니까?
Steffen Ullrich 10

@SteffenUllrich : Wireshark 전문가는 아니지만 www.dev5media.de 핸드 셰이크 (with TLS_DHE_RSA_WITH_AES_128_GCM_SHA256)가 성공적으로 완료된 것 같습니다. 그러나 Server Hello Done클라이언트에서 서버로의 통신이 없으면
burnersk

2
FWIW, 나는 윈도우 8.1에서 IE11 (11.0.9600.17690)을 시도하고 모두 일반 "이 페이지를 표시 할 수 없습니다"오류가있어 https://dev5media.de/https://www.dev5media.de/그래서 어떻게 든 내가 더 일관된 결과를 얻었다.
Håkan Lindqvist

답변:


5

SSL 2.0도 활성화되어 있습니까?

http://support.microsoft.com/en-us/kb/2851628 에 따르면 "SSL 2.0과 TLS 1.2는 Windows 7 이상의 운영 체제에서 서로 호환되지 않습니다. 클라이언트 쪽 인증서를 사용하여 HTTPS 연결을 설정하려면 TLS 1.2 이상에서는 SSL 2.0을 비활성화해야합니다. "


3

XP의 IE8과 잘 작동하고 IE7 +와 함께 작동 하는 Mozilla의 중간 스위트를 사용할 때 Win 7의 IE11 (중요 업데이트로 완전히 업데이트되었지만 선택적 업데이트로 완전히 업데이트되지 않음) 에서이 문제에 부딪 쳤습니다 . 내가 여기에 게시 할 것이라고 생각했지만이 문제는 Google에서 많이 나타나지 않습니다.

wireshark가 작동하는 데 필요한 최소한의 수정 사항을 파악하여 시간을 보냈습니다. 면책 조항 : 나는 암호 전문가가 아니므로 더 좋은 방법이있을 수 있습니다. 그러나 그것은 내 ssllabs.com 등급을 전혀 변경하지 않았습니다.

중간 제품군의 경우 ECDHE-RSA-AES128-SHA256 (IE11에서 작동하는 첫 번째)을 kEDH + AESGCM 및 DHE-RSA-AES128-GCM-SHA256 위로 이동하면 다음과 같은 결과가 발생합니다.

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.