Сразу к вопросу: есть ли у кого-нибудь хороший ресурс для получения подробной информации о том, что изменилось между IE6 и IE7, в частности, что может сделать IE6 неспособным подключиться к ресурсам HTTPS на веб-серверах на базе IIS7 (Windows 2008)? Мы предполагаем, что серверы принимают только новые версии / варианты протокола, с которыми IE6 не может справиться, но мы не можем найти, где это можно настроить.
Короче говоря:
У нас возникла проблема с парой веб-серверов, на которых запущено клиентское приложение. Поскольку куча изменений локальной политики и других параметров реестра была изменена в результате того, что клиент попросил тестеров проникновения проверить конфигурацию, Internet Explorer 6 отказался подключаться к сайту через HTTPS (сообщается об ошибке по умолчанию "не удается найти сервер или Сообщение об ошибке DNS "). IE7 и IE8 в порядке, как и другие браузеры, которые мы пробовали (FireFox в Windows, FF в Ubuntu, ссылки, ...), хотя это спорный вопрос, поскольку многие пользователи более или менее используют исключительно IE6. IE6 может получить доступ к одним и тем же ресурсам в тех же установках IIS через HTTP.
Просматривая изменения, которые задокументированы, мы не обнаружили ничего очевидного, что сделало бы это так, и даже применение всех изменений к одному из наших тестовых серверов не создает проблемы, одно из изменений касалось извлечения не- местные политики, поэтому я подозреваю, что проблема здесь.
Мне не удалось найти какую-либо полезную информацию с помощью поиска (многие сайты документируют, как выполнить самую базовую настройку SSL на веб-сервере и получить сертификаты, которым доверяют клиентские приложения и т.д., но ни слова, очевидно, относящегося к этой проблеме), при просмотре документации по локальным политикам для веб-сервера от Microsoft, мне ничего не показалось.
Сообщать клиенту об обновлении с IE6, к сожалению, не вариант. Я не хочу говорить им, чтобы они просто перестроили веб-сервер (-ы) и были более осторожны, какие флажки они нажимают в следующий раз, но сейчас наступает момент, когда это может быть нашей рекомендацией ...
Вы уже понюхали рукопожатие клиент-сервер между IE6 и машинами IIS? (http://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake_in_detailЯ подозреваю, что это даст вам первую информацию о том, что идет не так, особенно если вы сравните рукопожатие с рабочим диалогом клиент-сервер на базе IE7. Я предполагаю, что происходит несовместимое рукопожатие.
Вот "официальные" "изменения протокола HTTPS в IE 7" от Microsoft: http://msdn.microsoft.com/en-us/library/bb250503(VS.85).aspx
Мне интересно узнать о флажке «Использовать TLS 1.0» в настройках «Дополнительно» ваших клиентов IE6. IE7 включает TLS 1.0 по умолчанию, а IE6 отключает его. Неясно, игрались ли пентестеры вашего клиента с настройками на серверах, клиентах или на обоих. Я могу представить, что, если они игрались с серверами, они отключили SSL v2 на серверах (см. http://support.microsoft.com/kb/187498), но никому не сказал включить TLS 1.0 на клиентах IE6.
На серверах они бы изменили / создали значение DWORD «Включено» в разделе «HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders \ SCHANNEL \ Protocols \ SSL 2.0 \ Server» и установили бы его в 0, предполагая, что они отключили SSL v2.
В качестве теста для выявления источника ошибки: работает ли соединение через элемент управления веб-браузера? Вы можете использовать, например, 30-дневную пробную версию iMacros Browser для этого теста. Он использует тот же движок, что и IE, но с другой оболочкой.