Internet Explorer se niega a conectarse a sitios con certificados SSL no confiables

imagenes

IE ha comenzado a exhibir un comportamiento extraño. Tenemos varios nodos de la intranet (enrutadores) que están configurados para usar HTTPS para el acceso, pero que tienen certificados no confiables / autofirmados en ellos. En algún momento no identificable en el pasado reciente, no hubo problemas para conectarse a estos dispositivos. Eso ya no es cierto. Cuando intente conectarse, y elija la opción 3 (“para conectarse al sitio de todos modos”), IE vuelve inmediatamente con una pantalla de “Conexión no disponible”. Esto ocurre en IE8 y ahora (ugh) ie9.

Firefox no tiene problemas para conectarse a estas ubicaciones, lo que indica que no es un problema de pila TCP. Google Chrome no puede conectarse; pero luego Google Chrome falla en muchas cosas.

Hemos intentado agregarlos como sitios de confianza. Ninguna diferencia.

Claramente hay una configuración oscura o MS ha salido con un parche que rompe cosas. ¿Algunas ideas?


Tenemos varias respuestas

La mejor respuesta:

Este problema se debe a una actualización de MS muy reciente: kb2585542

Hay un fixit asociado con ms12-006 que le permite desactivar parte de la actualización. Los problemas se describen en http://support.microsoft.com/kb/2643584

Específicamente, Microsoft Fix it 50824 debe aplicarse. A continuación, debe actualizar, es decir, usar solo ssl3 y tls1.2 y para nuestros sistemas esto solucionó el problema


Otra respuesta

Consulta la sección de certificados en tus navegadores. Si hay certificados de estos dispositivos, elimínelos, borre la memoria caché de su navegador y reinícielo.

Mis HP ILOs harían esto a veces con los certificados autofirmados. Una vez que acepta el certificado, lo instala pero la próxima vez que lo conecte se confunde por alguna razón. Al menos FF e IE solían confundirse.


Si tiene más de unos pocos de estos servidores, probablemente valga la pena tener un poco de Autoridad de Certificación interna:

  • Cree una CA pequeña, en particular su propio certificado de CA + su clave privada.
  • Emita certificados utilizando esta CA para cada uno de sus servidores internos (y configúrelos dentro de ese servidor).
  • Importó el certificado de CA como un certificado de confianza en sus máquinas de intranet.

De esta manera, no tendrá que manejar excepciones cada vez que agregue un nuevo servidor en su intranet. Si eres nuevo en esto, puede ser un poco molesto, pero es la forma limpia de hacerlo.

Hay herramientas para ayudarte a configurar una CA. Dependiendo del tamaño, algo como Tiny CA podría ser suficiente Puede encontrar otras sugerencias en las respuestas a esta pregunta: https://security.stackexchange.com/q/7030/2435

Asegúrese de que los nombres de host en los certificados que emita estén en una entrada DNS del Nombre Alternativo del Asunto y (por si acaso) en el RDN de CN del Nombre Distinguido del Asunto.


Fuente

Leave a Reply