Назад | Перейти на главную страницу

Ошибка неверного сертификата с IE9 на Win7 и Nginx с несколькими виртуальными хостами

У нас есть экземпляр Nginx с несколькими виртуальными хостами на одном IP-адресе. nginx.conf имеет конфигурацию, подобную следующей:

server {
  listen      443 default_server ssl;
  server_name www.primary.com;
  ...
}

server {
  listen      80;
  server_name .primary.com;

  rewrite     ^(.*)   https://www.primary.com$1 permanent;
}

server {
  listen      443 ssl;
  server_name www.secondary.com;
  ...
}

server {
  listen      80;
  server_name .secondary.com;

  rewrite     ^(.*)   https://www.secondary.com$1 permanent;
}

server {
  listen      443 ssl;
  server_name www.tertiary.com;
  ...
}

server {
  listen      80;
  server_name .tertiary.com;

  rewrite     ^(.*)   https://www.tertiary.com$1 permanent;
}
...

У каждого домена есть собственный сертификат SSL. Все сертификаты имеют рейтинг A + на SSLLabs.com. Однако все они показаны как несовместимые с браузерами без поддержки SNI (например, IE8 на WinXP).

Пользователи обычно имеют доступ к http(s)://www.primary.com, http(s)://www.secondary.com, http(s)://www.tertiary.comи т.д. просто отлично. Однако некоторые пользователи IE9 в 64-разрядной версии Windows 7 жалуются, что получают предупреждение системы безопасности (недействительный сертификат) при попытке доступа https://www.secondary.com или https://www.tertiary.com. Если они переопределят предупреждение системы безопасности и продолжат, URL-адрес откроется нормально. Затем проверка сертификата в адресной строке браузера показывает сертификат для www.primary.com вместо этого для запрашиваемого домена. Те же пользователи не сталкиваются с какими-либо проблемами с любым другим браузером, таким как Firefox, Chrome или Opera на том же компьютере. Ни один другой пользователь не сообщил об ошибках (IE10, IE11, Safari, Windows 8, Mac OS и т. Д.). Также обратите внимание, что не все пользователи IE9 сталкиваются с этой проблемой. Мы видели пользователей IE9 в той же сети, которые могут без проблем получать доступ к веб-сайтам.

Поскольку пользователи находятся в корпоративной среде, где использование браузера по умолчанию (IE9) поощряется ИТ-политиками, некоторые из затронутых пользователей серьезно относятся к предупреждению и отказываются продолжать использование затронутых сайтов. Мы пробовали обычные варианты, такие как очистка кеша браузера.

Есть мысли или советы о том, как найти и исправить основную причину? Нам нужно решение, которое мы можем реализовать на стороне сервера и которое не требует какого-либо вмешательства со стороны пользователей (если нет задокументированной проблемы с IE9 в Windows 7).