Normalmente eu não uso o Internet Explorer. Eu o uso apenas em tempo de design para testes de interface (máquina de desenvolvimento e com http não criptografado). Toda semana eu executo o teste de servidor SSL Labs que diz que o IE11 é capaz de acessar meus sites.
Hoje descobri um problema com um dos meus serviços terceirizados. Algumas funções especiais não estão funcionando com o Chrome ou o Firefox, então lancei o IE11 na minha máquina com Windows 7. E o IE11 me mostra uma página de erro interna que basicamente diz apenas "a página não pôde ser exibida". E o típico bla bla manequim como verificar o DNS e assim por diante. Não havia absolutamente nenhum sinal de problema relacionado à criptografia em toda a página de erro (como o navegador normal faria).
Há alguns meses, havia esse schannelproblema que impedia que IEs habilitados para TLS1.2 acessassem sites HTTPS. A partir desse momento, minha "lista de verificação WTF para IE" contém "desativar TLS1.2" como um ponto de verificação. E o que devo dizer... desabilitar o TLS1.2 dentro do IE funcionou e meu site está disponível novamente . Mas não posso fazer isso nos navegadores dos meus visitantes.
Agora, para as perguntas reais: Por que o Internet Explorer 11 não consegue se conectar ao meu site HTTPS quando o TLS 1.2 está ativado no IE? E como corrigi-lo no lado do servidor? SSL Labs está dizendo que está tudo bem no meu site .
Edição importante: parece que o IE11 pode manipular apenas o domínio sem prefixo e não os domínios com prefixo quando o TLS1.2 está habilitado. domínio sem prefixo (www) funciona enquanto domínio incluindo prefixo (www) não funciona .
No lado do servidor, estou usando debian/7 nginx/1.7.8 openssl/1.0.1e
As cifras disponíveis são:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:-DES:!RC4:!MD5:!PSK:!aECDH:EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
Você também tem o SSL 2.0 ativado?
De acordo com http://support.microsoft.com/en-us/kb/2851628 "SSL 2.0 e TLS 1.2 não são compatíveis entre si no Windows 7 e sistemas operacionais posteriores. Para usar certificados do lado do cliente para estabelecer uma conexão HTTPS sobre TLS 1.2, você deve desabilitar o SSL 2.0".
Encontrei esse problema hoje com o IE11 no Win 7 (totalmente atualizado com atualizações importantes, mas não opcionais), ao usar o pacote intermediário do Mozilla , que funciona bem com o IE8 no XP e deve funcionar com o IE7+. Pensei em postar aqui é que esse problema não aparece muito mais no google.
Passei algum tempo com o wireshark descobrindo a modificação mínima necessária para fazê-lo funcionar. Isenção de responsabilidade: não sou um especialista em criptografia, pode haver uma maneira melhor de fazer isso. Mas isso não mudou minha classificação no ssllabs.com.
Mova ECDHE-RSA-AES128-SHA256 (o primeiro que funciona para IE11) acima de kEDH+AESGCM e DHE-RSA-AES128-GCM-SHA256, para o conjunto intermediário, resultando em:
A única solução que encontrei: http://www.techsupportall.com/solved-cannot-access-secure-sites-https-websites-not-opening-view/
Há instruções sobre como REGSVR para o Internet Explorer.