Obligando a IE11 a usar secrey delantero perfecto en AWS ELB

Navega tus respuestas
4

Puedo conectarme a mi servidor en prácticamente todos los navegadores excepto en Internet Explorer y no puedo entender por qué.

Estoy resolviendo SSL en AWS Elastic Load Balancer (ELB), que está configurado para usar los siguientes cifrados: 

DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES256-SHA256
DHE-RSA-AES128-SHA256
DHE-DSS-AES256-GCM-SHA384
DHE-DSS-AES128-GCM-SHA256
DHE-DSS-AES256-SHA256
DHE-DSS-AES128-SHA256
DHE-RSA-AES256-SHA
DHE-RSA-AES128-SHA
DHE-DSS-AES256-SHA
DHE-DSS-AES128-SHA

Ejecuté una prueba del servidor SSL Labs 1 y la sección de simulación de reconocimiento aprobó todos los navegadores excepto todas las versiones de IE , que todos fallaron: 

IE 11 / Win 8.1 Protocol or cipher suite mismatch   Fail3
Fail3: Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.

Intenté conectarme al servidor usando IE11 e IE10 y ninguno funcionó. Pude conectarme al servidor utilizando Chrome, Firefox, Safari (v6 y v7).

IE11 es compatible con TLS v1.2, v1.1 y v1.0, por lo que debería poder usar uno de los cifrados configurados, ¿no?

    
pregunta conorgil 14.01.2014 - 05:15
fuente

2 respuestas

2
  

IE11 es compatible con TLS v1.2, v1.1 y v1.0, por lo que debería poder usar uno de los cifrados configurados, ¿no?

No. La única suite de cifrado requerida por RFC 5246 es (en el lenguaje de OpenSSL) AES128-SHA . (No creo pensar que se hayan agregado más RFC posteriores.)

Lea los informes del cliente de SSL Labs para IE 7 / Vista y IE 11 / Win8.1 . IE es compatible con DHE, pero solo con certificados DSA. Sin embargo, admite ECDHE con certificados RSA (y ECDSA).

Debe habilitar una suite de cifrado compatible con IE, como se indica anteriormente por SSL Labs. IE 7-10 admite TLS 1.0 y las suites de cifrado ECDHE-RSA-AES128-SHA y ECDHE-RSA-AES256-SHA . IE 11 también agrega soporte para TLS 1.2 y ECDHE-RSA-AES128-SHA256 . Si la plataforma ELB no es compatible con ECDHE, su única opción es habilitar algún conjunto de cifrado no PFS antiguo como AES128-SHA .

    
respondido por el Matt Nordhoff 14.01.2014 - 14:05
fuente
0

MSIE11 es compatible con TLS V1.2, 1.1 y 1.0.

Utilice WinHTTP o WireShark para inspeccionar la comunicación a través de navegador y servidor web .

Debería poder saber si su proxy / firewall está obstaculizando la comunicación, o si el navegador está utilizando ( negociación de protocolo de enlace ) para solicitar un ( canal de encriptación diferente ).

Sin más información, no puedo solucionar sus problemas específicos ... Mucho mejoró en ( Win 8.1 ).

Editar: Creo que el problema que está teniendo es que GCM tiene prioridad en su conjunto de cifrado. GCM no está habilitado de forma predeterminada (6) en Windows 8.1, IE11 negociará el primer cifrado que admite, en su caso DHE-RSA-AES256-SHA256.

(6) ttp: //msdn.microsoft.com/en-us/library/windows/desktop/aa374757 (v = vs.85) .aspx

    
respondido por el RQ' 14.01.2014 - 12:45
fuente

Lea otras preguntas en las etiquetas

¿Existe una ventaja de seguridad al requerir una identificación de usuario en lugar de solo / me en una solicitud de API? Configure OpenVPN como un proxy local para usarlo solo cuando sea necesario