IE11 en Windows 8.1 y ssl fallback

1

Tengo problemas con los certificados SSL y mi acelerador SSL. Tengo un Sonicwall SSL-R y solo es compatible con SSLv2, SSLv3 y TLS1.0. Lo tengo configurado para decodificar SSL con SSLv3 ya que la implementación de TLS1.0 no parece funcionar con la mayoría de los navegadores. Así que, configurado como SSLv3, funciona con Chrome, Safari y Firefox, pero no con IE11.

Parece que IE11 en Windows 8.1 no volverá a utilizar SSLv3. Curiosamente, si entro en la configuración avanzada en IE11 y deshabilito todas las opciones de TLS y dejo solo SSLv3 activado, entonces funcionará. Parece que no se repliega correctamente a menos que desactive la configuración de TLS en las opciones avanzadas.

¿Alguien tiene alguna idea de por qué IE11 no recurre al uso de SSLv3?

Gracias de antemano por cualquier luz que pueda arrojar sobre esto.

    
pregunta user44741 16.04.2014 - 03:11
fuente

1 respuesta

1

¿Puedes explicar exactamente cómo los otros navegadores retroceden? He visto los siguientes escenarios con servidores y middleboxes:

  • intente conectarse con TLS 1.0 o superior, el par responde con SSLv3 y, por lo tanto, la conexión continúa con SSLv3. Esto suele tener éxito.
  • intente conectarse con TLS 1.0 o superior, el par cierra la conexión y el navegador lo intenta de nuevo con una versión de TLS más baja. Esto suele tener éxito.
  • intente conectarse con TLS 1.0 o superior, el interlocutor omite el cliente hola y no cierra la conexión. Esto se apaga después de un tiempo. En este caso, el navegador no vuelve a intentar con una versión inferior porque no asume un problema relacionado con SSL.

IE11 en Win8 hace el saludo inicial del cliente sin ofrecer cifrado RC4. Si Sonicwall simplemente deja caer a este cliente, hola, en lugar de cerrar la conexión o enviar una alerta TLS, es posible que se encuentre con el caso en que el navegador no vuelva a intentarlo.

Puede hacer una captura de paquetes (wireshark) para ver qué está pasando.

    
respondido por el Steffen Ullrich 16.04.2014 - 09:43
fuente

Lea otras preguntas en las etiquetas