【发布时间】:2023-08-24 01:45:02
【问题描述】:
我有一个非常奇怪的场景。我有两个网站,一个直播网站和一个测试网站,都是公共网站。 “实时”站点适用于所有浏览器和操作系统。测试网站最初是实时网站的克隆,可与 Chrome、IE 11(在 Windows 10 上)和 Edge 配合使用。但是,它不适用于 Windows 7 上的 IE 11。
我查看了两个 IIS 服务器的差异,包括 TLS 差异,但找不到任何差异。
错误是“无法显示此页面”在某些情况下我得到以下信息;
“在高级设置中开启 TLS 1.0、TLS 1.1 和 TLS 1.2”
我尝试更改浏览器上 TLS 和 SSL 设置的所有组合,但没有任何积极影响。我尝试了 4 台运行 IE 11 的不同 Windows 7 机器,但它们都以“无法显示此页面”而失败,有些机器得到“在高级设置中打开 TLS 1.0、TLS 1.1 和 TLS 1.2”,而其他机器则没有。
我检查了测试服务器上的 IIS 日志,它没有记录来自 Win7/IE 浏览器的任何访问。它确实记录了来自 chrome 和 Win10/IE 浏览器的访问。
我尝试了 Fiddler,它在尝试访问测试网站时报告了内部类型错误。错误是“HTTPS 握手失败。System.IO.IOException 无法从传输连接读取数据:现有连接被远程主机强制关闭”
我检查了客户端和服务器上的事件查看器,没有报告相关错误。
我希望得到帮助,以获取有关如何进一步解决问题的一些指示。
编辑:
基于下面的 cmets,我运行了 Qualsys。来自两台服务器的结果显示出解释问题的差异。我不知道如何影响使测试服务器工作的更改。以下是部分结果;
实时服务器;
Cipher Suites
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH x25519 (eq. 3072 bits RSA) FS 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013) ECDH x25519 (eq. 3072 bits RSA) FS WEAK 128
TLS_RSA_WITH_AES_256_GCM_SHA384 (0x9d) WEAK 256
TLS_RSA_WITH_AES_128_GCM_SHA256 (0x9c) WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c) WEAK 128
TLS_RSA_WITH_AES_256_CBC_SHA (0x35) WEAK 256
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f) WEAK 128
Handshake Simulation
IE 11 / Win 7 R RSA 2048 (SHA256) TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
IE 11 / Win 8.1 R RSA 2048 (SHA256) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
IE 11 / Win Phone 8.1 R RSA 2048 (SHA256) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 ECDH secp256r1 FS
IE 11 / Win Phone 8.1 Update R RSA 2048 (SHA256) TLS 1.2 > http/1.1 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 ECDH secp256r1 FS
测试服务器;
Cipher Suites
# TLS 1.2 (suites in server-preferred order)
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH x25519 (eq. 3072 bits RSA) FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH x25519 (eq. 3072 bits RSA) FS 128
Handshake Simulation
IE 11 / Win 7 R Server closed connection
IE 11 / Win 8.1 R Server closed connection
IE 11 / Win Phone 8.1 R Server closed connection
IE 11 / Win Phone 8.1 Update R Server closed connection
【问题讨论】:
-
我检查了我正在测试的一个客户端,KB3140245 是在 2016 年安装的。
-
我运行了 qualsys 扫描仪,发现存在解释问题的差异,但使用 NARTAC 我看不到差异,也看不到如何更改有问题的项目。我将在我的原始问题上发布一个 EDIT 以提供更多信息。
-
那么显然 IE 11 在连接到您的测试服务器时不再需要使用密码(针对 TLS 1.2 进行了强化),这是一件好事。您应该知道,当今最流行的网站不再支持 IE 11。
-
是的,这一切都很好,但是我如何“解除”测试服务器以匹配实时服务器?拥有与实时服务器不匹配的测试服务器会使测试毫无用处,因为您不知道导致任何给定问题的原因。
-
在我看来,使用带有IIS Crypto 的“最佳”模板可以使其工作。如果 GUI 中不可用,则命令行中有一个
/backup filename选项可首先运行。
标签: ssl internet-explorer iis tls1.2