Назад | Перейти на главную страницу

Почему сайт обслуживает разные сертификаты SSL для разных браузеров?

Сертификат SSL на menswearireland.com и дальше www.menswearireland.com отлично работает в Safari, Chrome, SeaMonkey, K-Meleon, QtWeb, Firefox и Opera. Однако Internet Explorer утверждает, что произошла ошибка:

Сертификат безопасности, представленный этим веб-сайтом, не был выпущен доверенным центром сертификации. Сертификат безопасности, представленный этим веб-сайтом, был выдан для другого адреса веб-сайта.

Проблемы с сертификатом безопасности могут указывать на попытку обмануть вас или перехватить любые данные, которые вы отправляете на сервер.

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)

Другой сайт, размещенный на том же управляемом сервере, не показывает ошибок: achill-fieldschool.com и www.achill-fieldschool.com отлично работают в IE, хотя, насколько я могу судить, сертификат настроен идентично.

Что я делаю не так?

Это сервер LAMPP, на котором работает Plesk.

Похоже, что сервер показывает разные сертификаты разным клиентам. Некоторым клиентам он показывает сертификат RapidSSL, выданный для www.menswearireland.com с участием menswearireland.com в качестве допустимого альтернативного имени. Другим клиентам он показывает сертификат Parallels Panel, выданный Parallels Panel. Вот результаты нескольких различных онлайн-проверок SSL: большинство говорят, что все в порядке, а две показывают ошибки.

Три онлайн-чекера подтвердили, что он действителен

Comodo SSL Check показывает его как действительный

DigiCert SSL Check показывает его как действительный

SSL Shopper SSL Check показывает его как действительный

Распространенное имя: www.menswearireland.com
SAN: www.menswearireland.com, menswearireland.com
Действительный со 2 октября 2012 г. по 4 ноября 2013 г.
Серийный номер: 559425 (0x88941)
Алгоритм подписи: sha1WithRSAEncryption
Эмитент: RapidSSL CA

Другая онлайн-проверка, похоже, видит совершенно другой сертификат

Проверка GeoCerts SSL показывает его как недействительный

Распространенное имя: Панель параллелей
Организация: Параллели
Действительный с 15 августа 2012 г. по 15 августа 2013 г.
Эмитент: Панель параллелей

Другая онлайн-проверка видит более одного сертификата

Симантическая проверка SSL показывает, что он недействителен

Программа проверки установки сертификатов подключилась к веб-серверу и прочитала его сертификаты, но не смогла определить, какой сертификат является основным для веб-сервера.

Кстати, на обоих menswearireland.com и achill-fieldschool.com домашняя страница будет перенаправлять с HTTPS на HTTP. Чтобы увидеть детали SSL, посетите страницу /account на обоих (эта страница будет перенаправлять с HTTP на HTTPS).

Я нашел больше информации в более подробной онлайн-проверке SSL.

https://www.ssllabs.com/ssltest/analyze.html?d=menswearireland.com

Этот сайт работает только в браузерах с поддержкой SNI

Я понимаю, что SNI (RFC 6066) - это метод размещения многих сайтов SSL на одном общем IP-адресе и порту. Это не работает в Internet Explorer в более старых версиях Windows (это связано с версией Windows, а не с версией Internet Explorer). Однако все наши SSL-сайты имеют уникальный IP-адрес, поэтому нам не нужен SNI.

ssl-certificate internet-explorer

Получается, что в Plesk 11.0 недостаточно назначить сертификат SSL для веб-сайта на выделенном IP-адресе. Вам также необходимо перейти к списку IP-адресов (Управление сервером> Инструменты и настройки> Инструменты и ресурсы> IP-адреса) и установить «Сайт по умолчанию» для каждого IP-адреса, который будет сайтом на этом адресе.

Если вы этого не сделаете, Plesk обслуживает сертификат способом, который требует SNI, что, скорее, сводит на нет преимущества размещения каждого защищенного сайта на выделенном IP-адресе в первую очередь.

Вы также можете установить там сертификат SSL, но в этом нет необходимости. Это кажется более запутанным, чем необходимо.

Когда я зашел на сайт https://www.menswearireland.com из локальной сети моей компании (прокси-сервер брандмауэра и все такое) я получил ошибку SSL:

VERIFY DENY: depth=0, (18) self signed certificate: "Parallels Panel"
VERIFY DENY: depth=0, CommonName "Parallels Panel" does not match         
URL "www.menswearireland.com"

Это будет означать, что сертификат, по-видимому, является самозаверяющим сертификатом, и это большой НЕЛЬЗЯ для Internet Explorer.

Я знаю, что это старый поток, но он помог мне решить аналогичную проблему. Я определил, что это связано с IPv6, а не с SNI. Оказывается, Verizon Wireless и другие интернет-провайдеры все чаще используют IPv6 вместо IPv4. Это была неприятная проблема, потому что единственная общая черта, которую я мог придумать, заключалась в том, что большинство моих клиентов, у которых возникла проблема, использовали Verizon, но не все соединения Verizon LTE используют IPv6, поэтому некоторые работали правильно. В моем случае мне нужно было назначить сертификат IPv6-адресу на моем сервере Plesk, а также IPv4-адресу, и проблема была решена.