Internet Explorer отказывается подключаться к сайтам с ненадежными сертификатами SSL

изображений

IE начал демонстрировать странное поведение. У нас есть несколько узлов внутренней сети (маршрутизаторов), которые настроены на использование HTTPS для доступа, но на которых есть недоверенные / самозаверяющие сертификаты. В какой-то неопознанный момент в недавнем прошлом не было проблем с подключением к этим устройствам. Это больше не правда. Когда вы пытаетесь подключиться и выбираете опцию 3 («для подключения к сайту в любом случае»), IE немедленно возвращается с экраном «Соединение недоступно». Это происходит в IE8 и сейчас (тьфу) ie9.

Firefox не имеет проблем с подключением к этим расположениям, что указывает на то, что это не проблема стека TCP. Google Chrome не может подключиться; но тогда Google Chrome терпит неудачу во многих вещах.

Мы попытались добавить их в качестве доверенных сайтов. Нет разницы.

Очевидно, что есть какие-то непонятные настройки, или MS выпустила патч, который ломает вещи. Есть идеи?


У нас есть несколько ответов на данный вопрос для Вас.

Лучший ответ:

Эта проблема вызвана недавним обновлением ms: kb2585542

С ms12-006 связано исправление, позволяющее отключить часть обновления. Проблемы описаны в http://support.microsoft.com/kb/2643584

В частности, Microsoft Fix it 50824 необходимо применять. Затем вам нужно обновить, т.е. использовать только ssl3 и tls1.2, и для наших систем это решило проблему


Другой ответ

Проверьте раздел сертификата в ваших браузерах. Если есть сертификаты от этих устройств, удалите их, очистите кеш браузера и перезапустите браузер.

Мои HP ILO иногда делали это с самозаверяющими сертификатами. Как только вы принимаете сертификат, он устанавливает его, но при следующем подключении он по какой-то причине запутывается. По крайней мере, FF и IE привыкли запутываться.


Если у вас есть несколько таких серверов, вероятно, стоит иметь небольшой внутренний центр сертификации:

  • Создайте небольшой центр сертификации, в частности собственный сертификат СА + его закрытый ключ.
  • Выпустите сертификаты, используя этот CA для каждого из ваших внутренних серверов (и настройте его на этом сервере).
  • Импортировал сертификат CA как доверенный сертификат на ваших компьютерах в интрасети.

Таким образом, вам не придется обрабатывать исключения каждый раз, когда вы добавляете новый сервер в свою интрасеть. Если вы новичок в этом, это может быть немного хлопотно, но это чистый способ сделать это.

Существуют инструменты, которые помогут вам настроить CA. В зависимости от размера, что-то вроде Крошечный CA может быть достаточно. Вы можете найти другие предложения в ответах на этот вопрос: https://security.stackexchange.com/q/7030/2435

Убедитесь, что имена хостов в выдаваемых вами сертификатах находятся в записи DNS «Альтернативное имя субъекта» и (на всякий случай) в RDN CN «Отличительного имени субъекта».


Источник

Leave a Reply