Почему сайт обслуживает разные сертификаты SSL для разных браузеров? [закрыто]
SSL-сертификат на menswearireland.com и на www.menswearireland.com отлично работает в Safari, Chrome, SeaMonkey, K -Meleon, QtWeb, Firefox и Opera. Однако Internet Explorer утверждает, что произошла ошибка:
Сертификат безопасности, представленный этим веб-сайтом, не был выдан доверенным центром сертификации . Сертификат безопасности, представленный этим веб-сайтом, был выдан для другого адреса веб-сайта.
Проблемы с сертификатом безопасности могут указывать на попытку вас обмануть или перехватить любые данные, которые вы отправляете на сервер.
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)
Другой сайт, размещенный на том же управляемом сервере, не показывает ошибок: achill-fieldschool.com и www.achill-fieldschool.com нормально работают в IE, хотя насколько Я могу сказать, что сертификат настроен идентично.
Что я делаю не так?
Это сервер LAMPP, на котором работает Plesk.
Похоже, что сервер показывает разные сертификаты разным клиентам. Некоторым клиентам отображается сертификат RapidSSL, выданный на www.menswearireland.com с menswearireland.com в качестве допустимого альтернативного имени. Другим клиентам он показывает сертификат Parallels Panel, выданный для Parallels Panel . Вот результаты нескольких различных онлайн-проверок SSL: большинство говорят, что все в порядке, а две показывают ошибки.
Три онлайн-средства проверки подтвердили, что он действителен
Comodo SSL Check показывает, что он действителен
DigiCert SSL Check показывает, что он действителен
SSL Shopper SSL Check показывает, что он действителен
Общее имя: www .menswearireland.com
SAN: www.menswearireland.com, menswearireland.com
Действителен со 2 октября 2012 г. по 4 ноября 2013 г.
Серийный номер: 559425 (0x88941)
Алгоритм подписи: sha1WithRSAEncryption
Эмитент: RapidSSL CA
Другая онлайн-программа проверки, похоже, видит совершенно другой сертификат
GeoCerts SSL Check показывает его как недействительный
Общее имя: Parallels Panel
Организация: Parallels
Действителен с 15 августа 2012 г. по 15 августа 2013 г.
Эмитент: Parallels Panel
Другая онлайн-программа проверки обнаруживает более одного сертификата
Проверка Symantic SSL показывает, что он недействителен
Проверка установки сертификата подключена к веб-серверу и прочитал его сертификаты, но не смог определить, какой сертификат является основным для веб-сервера.
Между прочим, на обоих menswearireland.com и achill-fieldschool.com домашняя страница будет перенаправлять с HTTPS на HTTP. Чтобы увидеть детали SSL, посетите страницу / account на обоих (эта страница будет перенаправлять с HTTP на HTTPS).
Я нашел дополнительную информацию в более подробной онлайн-проверке SSL.
https://www.ssllabs.com/ssltest/analyze.html?d=menswearireland.com
Этот сайт работает только в браузерах с поддержкой SNI
Насколько я понимаю, SNI (RFC 6066) - это метод размещения многих сайтов SSL на одном общем IP-адресе и одном порте. Это не работает в Internet Explorer в более старых версиях Windows (это связано с версией Windows, а не с версией Internet Explorer). Однако все наши SSL-сайты имеют уникальный IP-адрес, поэтому SNI нам не нужен.
Получается, что в Plesk 11.0 недостаточно назначить сертификат SSL для веб-сайта на выделенном IP-адресе. Вам также необходимо перейти к списку IP-адресов (Управление сервером> Инструменты и настройки> Инструменты и ресурсы> IP-адреса) и установить «Сайт по умолчанию» для каждого IP-адреса как сайт на этом адресе.
Если вы не делайте этого, Plesk обслуживает сертификат способом, который требует SNI, что, скорее, сводит на нет преимущества размещения каждого защищенного сайта на выделенном IP-адресе в первую очередь.
Вы также можете установить сертификат SSL там, но в этом нет необходимости. Это кажется более запутанным, чем необходимо.
Когда я заходил на сайт https://www.menswearireland.com из локальной сети моей компании (прокси-сервер брандмауэра и все такое). Я получил ошибку SSL:
VERIFY DENY: depth=0, (18) self signed certificate: "Parallels Panel"
VERIFY DENY: depth=0, CommonName "Parallels Panel" does not match
URL "www.menswearireland.com"
Это означало бы, что сертификат, по-видимому, является самозаверяющим сертификатом, и это большой НЕЛЬЗЯ для Internet Explorer.
Я знаю, что это старый поток, но он помог мне решить аналогичную проблему. Я определил, что это связано с IPv6, а не с SNI. Оказывается, Verizon Wireless и другие интернет-провайдеры все чаще используют IPv6 вместо IPv4. Это была неприятная проблема, потому что единственная общая черта, которую я мог придумать, заключалась в том, что большинство моих клиентов, у которых возникла проблема, использовали Verizon, но не все соединения Verizon LTE используют IPv6, поэтому некоторые работали правильно. В моем случае мне нужно было назначить сертификат IPv6-адресу на моем сервере Plesk, а также IPv4-адресу, и проблема была решена.