Форум по программам и оборудованию > >

Только у меня сайт в IE перестал открываться?

22.06.2018 10:36


[ОТВЕТИТЬ]
22.01.2015 17:26
MWWRuza
 
Собственно сабж...
Операционка WIN-XP(по разным причинам пока не перехожу на более новые), Эксплоер - восьмой(8.0.6001.18702). Пишет "Internet Explorer не может отобразить эту веб-страницу". В Гугл-Хроме открывается нормально. Все это примерно с неделю... Сначала думал, что сайт лежит... Но, подождав пару дней, понял, что проблема на моей стороне. Попробовал Хромом, все открылось...
В эксплоере SSL и TLS включены, да и с другими ресурсами работающими по https проблем не наблюдалось... Куда копать, что смотреть? Может какого-то сертификата не хватает, или еще чего-то? Есть какие-нибудь логи, куда заглянуть можно, что-бы понять причину?
22.01.2015 17:34
KirillHome
 
Подтверждаю - не открывается (XP SP3 + IE 8.0).

C - та же история (не открывается в этих условиях).
22.01.2015 17:52
MWWRuza
 
Фуух, отлегло... Я уж думал, что это только я такой "неправильный":):):) Оказывается проблемма глобальная.
Кстати, inima у меня тоже не открывается.
22.01.2015 18:32
OlegON
 
Увидел :( Сейчас буду ломать голову. Нашел, где воспроизвести.
Проблема в том, что в этих условиях работают только уязвимые шифровщики. Если кто-то найдет решение - напишите, плз. Nginx+Win XP+IE8+SSL ключевые слова
22.01.2015 19:22
OlegON
 
У меня пока только такое про SNI: "Not in any Internet Explorer version on Windows XP or Windows Server 2003 because SNI depends upon the SChannel system component shipped with Windows Vista."
Типа ХР тихо списали... Сайтов таких все больше. У меня же нет возможности получить еще несколько IP...
Есть еще решения?
22.01.2015 19:54
AndreyZh
 
Цитата:
KirillHome Подтверждаю - не открывается (XP SP3 + IE 8.0).
... и у мню тоже - смотрю через firefox
22.01.2015 20:36
OlegON
 
Версии пишите браузера и ОС, пожалуйста?
22.01.2015 20:41
OlegON
 
Коллеги, не выходит у меня каменный цветок :( Совсем, надо сказать... Никаким боком не получается даже перехватить отсутствие SNI, чтобы показать страницу уведомления или перейти на неhttps.
22.01.2015 21:17
KirillHome
 
Ну да, похоже варианта четыре:
1) Платный сертификат
2) Два IP (один http, другой https)
3) Уйти от домашнего хостинга на какую-либо хост-площадку
4) Забыть о "проблемных клиентах": т.е. IE <= 8, или Android 2.х (если найду старый смарт - проверю, правда ли об андроиде).
22.01.2015 21:32
OlegON
 
Как я понял, мне потребуется сертификат с двумя доменными именами в нем и wildcards, если даже и найдется, кто продаст это физическому лицу, то стоить это будет больше 15000 в год. Не готов на такие подвиги ради осла со старой виндой :( Жаль, конечно... Хост-площадки вообще не вариант.
22.01.2015 22:12
KirillHome
 
Наткнулся, что KB931125 решает проблему

Проверю завтра.
22.01.2015 22:28
OlegON
 
Сомнительно :( Судя по декабрьской статистике, потеря приблизительно 3% посетителей.
22.01.2015 22:43
KirillHome
 
Не помогло (проверил в Virtual PC).
Хотя - в доверенных центрах сертификации есть сертификат от StartCom

CN = StartCom Certification Authority
OU = Secure Digital Certificate Signing
O = StartCom Ltd.
C = IL
22.01.2015 23:18
KirillHome
 
На всякий случай оставлю - вдруг поможет

Запрос в google:
Nginx TLS_RSA_WITH_3DES_EDE_CBC_SHA

Как вариант
Цитата:
Вопрос:
I have a few users that are having issues with my website now that I disabled SSLv3. Turns out the only cipher that would/should work with XP/IE8 is TLS1.0: "TLS_RSA_WITH_3DES_EDE_CBC_SHA" (there are two RC4's that also work, but I understand that is really not recommended).

Can anyone tell me how to add this to my ssl_ciphers? (I don't fully understand the shorthand in the list.)
I see that, based on a recommendation, I do have "!3DES" in the list.
If anyone has any other recommendations to support XP/IE8 with TLS1.0 in the most secure manner, I appreciate all feedback!

Also, if I put this one last in the list, can I assume it will be the least preferred by nginx?

Ответ:
Код:
ssl_prefer_server_ciphers On;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!eNULL:!MD5:!DSS;
Works with IE7/xp, sslabs is ok with this as well.
23.01.2015 07:42
OlegON
 
Нене, дело не в правильности сертификата.
Все известные мне бесплатные сертификаты подразумевают один включенный домен.
SNI, грубо говоря - умение браузера сказать по SSL к какому именно домену он пришел.
Таким образом, вламываясь по IP, где несколько серверов, он получает не тот сертификат с большой степенью вероятности. Облом.
23.01.2015 10:34
KirillHome
 
Весьма вероятно, что я совсем не прав - я в этом не разбираюсь от слова "вовсе"

Просто объясню свою "логику":
1) Читаю эту заметку
2) Тестирую olegon.ru
3) Тестирую konklone.com
4) Смотрю разницу - вижу именно TLS_RSA_WITH_3DES_EDE_CBC_SHA для WinXp/IE8
5) Высказываюсь
23.01.2015 12:03
MWWRuza
 
Да в принципе, не стоит заморачиваться если это так сложно(затратно?)... Просто нужно как-то обработать ситуацию, например выводить сообщение - "Ваш браузер больше не поддерживается!". А то, сейчас просто пишет что сайт не доступен, без объяснения причины... Что тут можно подумать? Что он просто лежит, или адрес корявый... То, что нужно зайти другим браузером, приходит в голову только когда уже знаешь, что сайт работает и не мог так в одночасье пропасть... А новые пользователи, скорее всего просто плюнут, забудут:(
23.01.2015 12:18
OlegON
 
Я в это разбираюсь от слова "мало" :) Потому сначала заподозрил немного другое. Вот как раз это самое шифрование. Сейчас я его поставил, чтобы разницы не было. Однако IE от этого не заработал?

Упростим, у меня сейчас два сертификата:
1. (storage.olegon.ru и olegon.ru) (по умолчанию)
2. ( и inima.ru)
на самом деле там еще пара сертификатов, но не будем путаться. При этом, включена расширенная безопасность, сообщающая, что на olegon.ru и inima.ru (и все поддомены) можно сразу идти по https. Достаточно хоть один раз сходить браузером на основной домен, как браузер откажется на любой из поддоменов ходить по http. Я себе так статистику внутреннюю сломал, тоже пришлось сертификат делать.
Что делает браузер без SNI - получает первый сертификат (по умолчанию). В случае с inima - обламывается, потому, что шел на один хост, а пришел сертификат на другой (веб-серверу не сказал, куда идет). Вот в случае с IE я пока ничего не понимаю, по идее, он должен ходить на olegon и не должен - на inima, почему он и на olegon не попадает - загадка.
23.01.2015 12:21
OlegON
 
Цитата:
MWWRuza Да в принципе, не стоит заморачиваться если это так сложно(затратно?)... Просто нужно как-то обработать ситуацию, например выводить сообщение - "Ваш браузер больше не поддерживается!".
Проблема в том, что обрыв связи идет еще до того, как я могу что-то предпринять. Т.е. браузер лезет на 80 порт, тут я не могу еще определить, есть у него SNI или нет. Перебрасываю на 443 порт, где SSL, включаются механизмы безопасности, и во время handshake браузер внезапно забывает, куда шел. Ему отдается сертификат по умолчанию, после чего - разрыв связи. Я так понимаю.
23.01.2015 12:29
KirillHome
 
Сейчас у меня и olegon.ru и inima.ru - открываются в XP/IE8
23.01.2015 12:32
MWWRuza
 
Цитата:
KirillHome Сейчас у меня и olegon.ru и inima.ru - открываются в XP/IE8
У меня тоже открывается...

Поспешил - olegon открывается, а inima ттоже в IE открывается ав Хроме перестала - пишет "Ваше подключение не защищено"
23.01.2015 12:34
KirillHome
 
Правда, у inima - вылезает сообщение:

Цитата:
Ошибка в сертификате безопасности этого веб-узла.
Сертификат безопасности этого веб-узла был выпущен для веб-узла с другим адресом.

Наличие ошибок в сертификате безопасности может означать, что вас пытаются обмануть или хотят перехватить информацию, передаваемую на сервер.
Рекомендуется закрыть веб-страницу и не работать с этим веб-узлом.
Щелкните здесь, чтобы закрыть веб-страницу.
Продолжить открытие этого веб-узла (не рекомендуется).
Подробнее


Если, щелкнув ссылку, вы попали на эту веб-страницу, проверьте адрес веб-узла на панели адреса, чтобы убедиться в том, что он указан правильно.
При переходе на веб-узел с адресом попробуйте добавить к адресу 'www', например, .
Если вы хотите проигнорировать эту ошибку и продолжить, по крайней мере не вводите никаких личных данных и не сообщайте конфиденциальных сведений на этом веб-узле!

Дополнительные сведения можно найти в разделе справки Internet Explorer "Ошибки сертификатов".
23.01.2015 12:49
OlegON
 
Спасибо большое за помощь :) Упустил я шифровщик все же...
Но что с хромом - так и не понятно, у меня открывается. Правда, сравнительно новый у меня...
23.01.2015 12:50
KirillHome
 
Цитата:
MWWRuza ...

Поспешил - olegon открывается, а inima ттоже в IE открывается ав Хроме перестала - пишет "Ваше подключение не защищено"
Не подтверждаю по поводу inima в Win'XP - специально поставил сейчас Chrome (Версия 40.0.2214.91 m) в виртуалку - всё в порядке (Win'7 + Chrome - тоже без вопросов).
23.01.2015 13:36
MWWRuza
 
Цитата:
KirillHome Не подтверждаю по поводу inima в Win'XP - специально поставил сейчас Chrome
Да уже все нормально и у меня, открывается и в IE и в Хроме. Видимо в тот момент что-то еще не успело обновиться...
28.01.2015 13:27
MWWRuza
 
Вобщем, конечно надо забить на восьмой эксплоер и ХР вместе с ним, все это устарело как г..о мамонта, но, может будет полезно наблюдение:

Захожу в тему с картинками - Прикольные картинки, картинка - из хранилища.
Вместо картинки вижу квадратик. Обновить страницу, а так-же "Показать рисунок" по правой кнопке мыши не помогают. Копирую адрес картинки, в новом окне вставляю в адресную строку - картинка открывается нормально. В Хроме такого нет, при открытии странички, картинка на месте.
Это надо или как-то пофиксить, или сразу выдавать месагу пользователю, что для корректного отображения сайта требуется браузер не ниже ХХХХХ версии... А то как-то не красиво получается, не информативно...
28.01.2015 13:44
OlegON
 
А сейчас эта картинка нормально отображается?
28.01.2015 14:47
KirillHome
 
У меня - да, нормально
Миниатюры
Нажмите на изображение для увеличения
Название: Безымянный.JPG
Просмотров: 355
Размер:	165.5 Кб
ID:	4326  
28.01.2015 16:13
OlegON
 
Суть - вставка неHTTPS-содержимого в HTTPS-страницу вот такие вот приколы и вызывает... Поправил.
28.01.2015 20:09
MWWRuza
 
Цитата:
OlegON А сейчас *** отображается?
Да, сейчас все ОК!


Опции темы


Часовой пояс GMT +3, время: 10:36.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.