Веб-сайты (главным образом HTTPS) позади брандмауэра TMG, недоступного на некоторых браузерах только
Мне опубликовали сайт с Центром деятельности TMG как веб-сайт HTTPS. Это имеет действительный сертификат SSL (EV). Сайт отображается правильно на всех браузерах кроме Safari, Midori и дельфина.
Проблема находится на Safari нет никакого соединения вообще с веб-сайтом. Как сайт не отвечает на запрос вообще. Никакой файл не передается. Соединение абсолютно мертво. По крайней мере в течение долгого времени (30 секунд к нескольким минутам).
У меня есть несколько различных веб-сайтов, настроенных по HTTPS. Различные домены, другой дюйм/с и различные сертификаты. Сертификаты от различных выпускающих.
Проблема существует со всеми моими веб-сайтами HTTPS, ТОЛЬКО с Safari, Midori и браузерами дельфина, все 3 сайта работают правильно над любым браузером. Никакие задержки, никакие сообщенные проблемы.
Я пытался отключить HTTP к перенаправлению HTTPS в слушателе TMG для исключения проблемы сертификата. Я не могу получить доступ к своим веб-сайтам по http также. Они однако совершенно доступный из Firefox, Opera, Chrome, IE, Vivaldi, Slimjet и браузеров Edge.
Иногда я могу отобразить единственную страницу на Safari, но он принимает 30 секунд для показа, но с некоторыми изображениями (и / или CSS) пропавшие без вести. Затем - веб-сайт перестал работать, потому что Ajax на сбоях страницы, хотя заголовки CORS правильно настроены и URL, на которые ссылаются, может даже ответить (огромными задержками).
Это похоже на это: Вы вводите URL и добираетесь, сообщение о сайте недоступно. Затем, если Вы несколько раз обновляете страницу, это наконец появляется, но плохо поврежденный (как много файлов были недоступны).
На других браузерах нет никаких задержек. Все файлы сразу доступны.
На моей вкладке Web Access Policy у меня есть все инспекционные и отключенные опции прокси.
Что является самым странным из всех - у меня есть другой сайт (HTTP) на том же сервере, но опубликованный на другом IP. Сайт работает над ВСЕМИ браузерами без проблем. Весь дюйм/с и маршрутизация, кажется, правильно настроены, и если бы они не были, как другие браузеры отобразили бы сайты?
BTW, это - 100% не на самих веб-сайтах. Даже если я пытаюсь открыть единственный файл HTML или изображение от сайта, он не может быть выбран с Safari.
ВАЖНЫЙ: информация о сертификате SSL сайта отображена правильно, это - единственная вещь, которая загружается с тех сайтов. Таким образом, я вижу значок замка, информацию о сайте, но никакое содержание. После разрешения HTTP-соединений это не работает ни один по HTTP. Работы по HTTP на некоторых браузерах.
ВАЖНЫЙ: упомянутые сайты все доступны на всех браузерах, когда TMG опущен (по VPN, непосредственно сославшись на мой IP NLB).
Проблема запустилась, когда мы переместили наши виртуальные серверы в новые хосты в новой сети. В старой сети все это работало. Но с другой стороны - что имеет конфигурацию внутренней сети на сайты, являющиеся недоступным только на определенных браузерах?
Обновление
Я попробовал много вещей, как изменение MTU на брандмауэре CISCO ASA, но это не помогло. Я пытался обновить свою конфигурацию SSL на TMG, использующем это учебное руководство:
Улучшение безопасности SSL на Центре деятельности TMG
Я закончил тестом, даже не завершается. Плюс я получаю предупреждение о "непоследовательной конфигурации сервера". И это останавливается с "Долгим обходным решением квитирования: hanshake не дольше, чем 0x200 байтов: 132" сообщения. Ну, мне установили домен www.example.com и example.com на различные адреса. Это нарочно. И существует несколько перенаправлений между 2 из них. BTW, www сайт имеет свой собственный сертификат в случае, если кто-то ввел его URL с https. Но это главным образом не используется. И да, я заменил сертификат не-WWW-сервера, но www остаются без обновления. Это - ошибка, но это должно влиять только www на сайт. Но тем, который неправильно себя ведет, является https://example.com, не https://www.example.com.
Что не так? Так как это работало в хорошо прошлый раз, когда у меня был тот же TMG VM на другом хосте. У меня были свои сайты на различных (более старых) серверах IIS. У меня были другой внешний дюйм/с и никакая демилитаризованная зона. И сертификат отличался, был более старым с ключом на 128 битов вместо 256. Не было никакого брандмауэра CISCO ASA. После того, как мы переместили все веб-сайты в новые машины, это произошло. Они работают над любым браузером кроме Safari, Midori и дельфина.
Обновление
Я подключен к внутренней сети через VPN через ASA. Если я разъяснил своему домену IP сайта к внутреннему адресу NLB - он работает. Если я установил на IP демилитаризованной зоны - он не делает. И конечно на внешнем IP - это не делает. Конечно - все 3 пути работают отлично над большинством браузеров, только Safari, Midori и дельфин затронуты.
BTW, тот же самый CISCO ASA направляет мои веб-запросы к сети общего пользования.
BTW2: Чистый сайт HTTP (никакой сертификат) от того же самого IIS-> NLB-> TMG-> демилитаризованная зона-> ASA - работает с Safari без задержек или других проблем. Единственная вещь, которую я не протестировал, удаляла сертификат и доступ установки HTTP только. Это - производственный веб-сайт, если я пошел бы для него, я должен сделать это ночью и в огромной спешке.
Звучит как основная проблема с сетевым подключением. Симптомы обычно возникают при неверно настроенном MTU. В качестве альтернативы, TGM может что-то сбивать, но я не знаю достаточно об этом, чтобы сказать.
Я бы порекомендовал сначала протестировать с уменьшенным MTU - установка MTU для сервера или клиента или обоих на 1200 было бы хорошим место для начала. В качестве альтернативы, вы можете настроить соединение, чтобы увидеть, какие параметры TCP согласовываются, и перейти оттуда.
[Изменить] Изменение MTU в Windows немного зависит от того, какая версия Windows у вас установлена, поскольку она не указана. Я только что предоставил общий результат Google: