为什么启用 TLS 1.2 后 Internet Explorer 11 无法连接到 HTTPS 网站?

tag-icon tag-icon nginx ssl openssl internet-explorer tls
为什么启用 TLS 1.2 后 Internet Explorer 11 无法连接到 HTTPS 网站?

通常我根本不使用 Internet Explorer。我只在设计时使用它进行界面测试(开发机器和未加密的 http)。每周我都会运行 SSL Labs 服务器测试,结果显示 IE11 能够访问我的网站。

今天我发现我的一个第三方服务存在问题。Chrome 或 Firefox 无法使用某些特殊功能,因此我在 Windows 7 计算机上启动了 IE11。IE11 向我显示了一个内置错误页面,基本上只是说“无法显示该页面”。然后是典型的虚假操作,例如检查 DNS 等。整个错误页面上完全没有加密相关问题的迹象(就像普通浏览器一样)。

几个月前,出现了一个schannel问题,导致启用了 TLS1.2 的 IE 无法访问 HTTPS 网站。从那时起,我的“IE WTF 检查表”就包含“禁用 TLS1.2”作为检查点。我该说什么呢……在 IE 中禁用 TLS1.2 有效,我的网站又可以访问了。但我无法在访客浏览器上执行此操作。

现在来谈谈真正的问题:为什么 Internet Explorer 11 无法连接到我的 HTTPS 网站当 IE 中启用 TLS 1.2 时?如何在服务器端修复它?SSL Labs 表示我的网站一切正常

重要编辑:看来,当启用 TLS1.2 时,IE11 只能处理非前缀域,而不能处理前缀域。没有前缀的域名(www)有效尽管包含前缀 (www) 的域名不起作用

在服务器端我使用的是 debian/7 nginx/1.7.8 openssl/1.0.1e

可用的密码有:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

答案1

您是否也启用了 SSL 2.0?

根据http://support.microsoft.com/en-us/kb/2851628“SSL 2.0 和 TLS 1.2 在 Windows 7 及更高版本的操作系统中彼此不兼容。要使用客户端证书通过 TLS 1.2 建立 HTTPS 连接,必须禁用 SSL 2.0”。

答案2

今天在 Win 7 上使用 IE11 时遇到了这个问题(已全面更新,包含重要更新,但没有可选更新),在使用时Mozilla 的中级套件,它在 XP 上与 IE8 配合良好,并且应该与 IE7+ 配合良好。我想在这里发布这个问题,因为这个问题在 google 上没有出现太多。

花了一些时间使用 wireshark 找出使其工作所需的最小修改。免责声明:我不是加密专家,可能有更好的方法来做到这一点。但它根本没有改变我对 ssllabs.com 的评级。

将 ECDHE-RSA-AES128-SHA256(第一个适用于 IE11 的套件)移至 kEDH+AESGCM 和 DHE-RSA-AES128-GCM-SHA256 之上,以获得中间套件:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA

答案3

唯一的解决办法我已经发现: http://www.techsupportall.com/solved-cannot-access-secure-sites-https-websites-not-opening-view/
有关于如何将 REGSVR 添加到 Internet Explorer 的说明。

相关内容