Forzare IE11 a utilizzare il perfetto segreto di inoltro su AWS ELB

Naviga le tue risposte
4

Posso collegarmi al mio server praticamente in tutti i browser ad eccezione di Internet Explorer e non riesco a capire perché.

Sto risolvendo SSL su AWS Elastic Load Balancer (ELB), che è configurato per utilizzare i seguenti codici: 

DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-SHA256
DHE-RSA-AES128-SHA256
DHE-DSS-AES256-GCM-SHA384
DHE-DSS-AES128-GCM-SHA256
DHE-DSS-AES256-SHA256
DHE-DSS-AES128-SHA256
DHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA
DHE-DSS-AES256-SHA
DHE-DSS-AES128-SHA

Ho eseguito un test del server SSL Labs 1 e la sezione simulata di handshake ha superato tutti i browser tranne tutte le versioni di IE , che tutti fallirono: 

IE 11 / Win 8.1 Protocol or cipher suite mismatch   Fail3
Fail3: Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.

Ho provato a connettermi al server usando IE11 e IE10 e nessuno dei due ha funzionato. Sono stato in grado di connettermi al server utilizzando Chrome, Firefox, Safari (v6 e v7).

IE11 supporta TLS v1.2, v1.1 e v1.0, quindi dovrebbe essere in grado di utilizzare uno dei cifrari configurati, giusto?

    
posta conorgil 14.01.2014 - 05:15
fonte

2 risposte

2

IE11 supports TLS v1.2, v1.1, and v1.0, so it should be able to use one of the configured ciphers, right?

No. L'unica suite di crittografia con RFC 5246 è (nel gergo OpenSSL) AES128-SHA . (Non penso più avanti RFC aggiunto di più.)

Leggi i report dei client SSL Labs per IE 7 / Vista e IE 11 / Win8.1 . IE supporta DHE, ma solo con certificati DSA. Tuttavia, supporta ECDHE con certificati RSA (e ECDSA).

Devi abilitare una suite di crittografia supportata da IE, come elencato sopra da Labs SSL. IE 7-10 supporta TLS 1.0 e le suite di crittografia ECDHE-RSA-AES128-SHA e ECDHE-RSA-AES256-SHA . IE 11 aggiunge anche il supporto per TLS 1.2 e ECDHE-RSA-AES128-SHA256 . Se la piattaforma ELB non supporta ECDHE, l'unica opzione è abilitare alcune vecchie suite di crittografia non PFS come AES128-SHA .

    
risposta data 14.01.2014 - 14:05
fonte
0

MSIE11 supporta TLS V1.2, 1.1 e 1.0.

Usa WinHTTP o WireShark per ispezionare la comunicazione tramite browser e server web .

Dovresti essere in grado di dire se il tuo proxy / firewall sta ostacolando le comunicazioni, o se il browser sta usando ( negoziazione handshake ) per richiedere un ( canale di crittografia diverso ).

Senza ulteriori informazioni Non riesco a risolvere i tuoi problemi specifici ... Molto migliorato in ( Win 8.1 ).

Modifica: Penso che il problema che stai affrontando sia che GCM abbia la priorità per prima nella tua suite di crittografia. GCM non è abilitato per impostazione predefinita (6) su Windows 8.1, IE11 eseguirà l'handshake per negoziare fino al primo codice che supporta, nel tuo caso DHE-RSA-AES256-SHA256.

(6) ttp: //msdn.microsoft.com/en-us/library/windows/desktop/aa374757 (v = vs.85) .aspx

    
risposta data 14.01.2014 - 12:45
fonte

Leggi altre domande sui tag

Qual è il modo più sicuro per inviare email usando PGP? Lettura della raccomandazione di apprendimento dei risultati e della sicurezza di Wireshark