Форум по программному обеспечению и оборудованию > >

Только у меня сайт в IE перестал открываться?

06.12.2016 5:53


[ОТВЕТИТЬ]
Опции темы
22.01.2015 22:12  
KirillHome
Наткнулся, что KB931125 решает проблему

Проверю завтра.
 
22.01.2015 22:28  
OlegON
Сомнительно :( Судя по декабрьской статистике, потеря приблизительно 3% посетителей.
 
22.01.2015 22:43  
KirillHome
Не помогло (проверил в Virtual PC).
Хотя - в доверенных центрах сертификации есть сертификат от StartCom

CN = StartCom Certification Authority
OU = Secure Digital Certificate Signing
O = StartCom Ltd.
C = IL
 
22.01.2015 23:18  
KirillHome
На всякий случай оставлю - вдруг поможет

Запрос в google:
Nginx TLS_RSA_WITH_3DES_EDE_CBC_SHA

Как вариант
Цитата:
Вопрос:
I have a few users that are having issues with my website now that I disabled SSLv3. Turns out the only cipher that would/should work with XP/IE8 is TLS1.0: "TLS_RSA_WITH_3DES_EDE_CBC_SHA" (there are two RC4's that also work, but I understand that is really not recommended).

Can anyone tell me how to add this to my ssl_ciphers? (I don't fully understand the shorthand in the list.)
I see that, based on a recommendation, I do have "!3DES" in the list.
If anyone has any other recommendations to support XP/IE8 with TLS1.0 in the most secure manner, I appreciate all feedback!

Also, if I put this one last in the list, can I assume it will be the least preferred by nginx?

Ответ:
Код:
ssl_prefer_server_ciphers On;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!eNULL:!MD5:!DSS;
Works with IE7/xp, sslabs is ok with this as well.
 
23.01.2015 07:42  
OlegON
Нене, дело не в правильности сертификата.
Все известные мне бесплатные сертификаты подразумевают один включенный домен.
SNI, грубо говоря - умение браузера сказать по SSL к какому именно домену он пришел.
Таким образом, вламываясь по IP, где несколько серверов, он получает не тот сертификат с большой степенью вероятности. Облом.
 
23.01.2015 10:34  
KirillHome
Весьма вероятно, что я совсем не прав - я в этом не разбираюсь от слова "вовсе"

Просто объясню свою "логику":
1) Читаю эту заметку
2) Тестирую olegon.ru
3) Тестирую konklone.com
4) Смотрю разницу - вижу именно TLS_RSA_WITH_3DES_EDE_CBC_SHA для WinXp/IE8
5) Высказываюсь
 
"Спасибо" KirillHome от:
23.01.2015 12:03  
MWWRuza
Да в принципе, не стоит заморачиваться если это так сложно(затратно?)... Просто нужно как-то обработать ситуацию, например выводить сообщение - "Ваш браузер больше не поддерживается!". А то, сейчас просто пишет что сайт не доступен, без объяснения причины... Что тут можно подумать? Что он просто лежит, или адрес корявый... То, что нужно зайти другим браузером, приходит в голову только когда уже знаешь, что сайт работает и не мог так в одночасье пропасть... А новые пользователи, скорее всего просто плюнут, забудут:(
 
23.01.2015 12:18  
OlegON
Я в это разбираюсь от слова "мало" :) Потому сначала заподозрил немного другое. Вот как раз это самое шифрование. Сейчас я его поставил, чтобы разницы не было. Однако IE от этого не заработал?

Упростим, у меня сейчас два сертификата:
1. (storage.olegon.ru и olegon.ru) (по умолчанию)
2. ( и inima.ru)
на самом деле там еще пара сертификатов, но не будем путаться. При этом, включена расширенная безопасность, сообщающая, что на olegon.ru и inima.ru (и все поддомены) можно сразу идти по https. Достаточно хоть один раз сходить браузером на основной домен, как браузер откажется на любой из поддоменов ходить по http. Я себе так статистику внутреннюю сломал, тоже пришлось сертификат делать.
Что делает браузер без SNI - получает первый сертификат (по умолчанию). В случае с inima - обламывается, потому, что шел на один хост, а пришел сертификат на другой (веб-серверу не сказал, куда идет). Вот в случае с IE я пока ничего не понимаю, по идее, он должен ходить на olegon и не должен - на inima, почему он и на olegon не попадает - загадка.
 
23.01.2015 12:21  
OlegON
Цитата:
Сообщение от MWWRuza
Да в принципе, не стоит заморачиваться если это так сложно(затратно?)... Просто нужно как-то обработать ситуацию, например выводить сообщение - "Ваш браузер больше не поддерживается!".
Проблема в том, что обрыв связи идет еще до того, как я могу что-то предпринять. Т.е. браузер лезет на 80 порт, тут я не могу еще определить, есть у него SNI или нет. Перебрасываю на 443 порт, где SSL, включаются механизмы безопасности, и во время handshake браузер внезапно забывает, куда шел. Ему отдается сертификат по умолчанию, после чего - разрыв связи. Я так понимаю.
 
23.01.2015 12:29  
KirillHome
Сейчас у меня и olegon.ru и inima.ru - открываются в XP/IE8
 
"Спасибо" KirillHome от:
 


Опции темы



Часовой пояс GMT +3, время: 05:53.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.