Эта проблема уже очень давно сводит меня с ума. У нас есть три веб-сервера, обслуживающих восточные, западные и центральные офисы. Сначала мы построили центральный сервер, создали его образ и скопировали образ на два других сайта после того, как прошли внутреннее сканирование безопасности и убедились, что мы соответствуем требованиям FIPS 140-2. Серверы работают под управлением Windows 2008 Standard R2, IIS 7.5 и настолько близки к идентичности, насколько позволяют их соответствующие среды. Все три веб-сервера ограничены https на порте 443. Сертификат каждого сервера был создан с использованием одного и того же центра сертификации и алгоритмов шифрования.
Наши пользователи могут нормально подключаться к Востоку и Центральному региону. Но когда они обращаются к Западу, некоторые - не все, но некоторые - не могут подключиться, если они не включат SSL 2.0. У большинства наших пользователей на рабочих станциях и ноутбуках стандартная установка: Windows 7, IE8. Так как это случается не со всеми, и те пользователи, которые не могут попасть на Запад, не имеют проблем с остальными, мне это не кажется проблемой клиента.
SSL 2.0 НЕ включен ни на одном из серверов. Включен только TLS - ни на одном из серверов не включена версия SSL, даже 3.0. Я запустил диагностическое программное обеспечение для проверки установленных шифров, и они вернулись, подтверждая, что SSL 2.0 НЕ работает на сервере. Я даже проводил практические тесты: я отключил TLS в своем браузере и попытался подключиться, используя SSL 2.0, 3.0 или оба. Мое соединение отклонено, как и должно быть. Я также запустил пару сетевых снифферов из своего местоположения, прежде чем ИТ-специалисты обнаружили меня и отключили меня ... и они подтвердили, что SSL 2.0 отключен.
Я думал, что зашифрованное соединение должно быть прямым и неизменным, чтобы оставаться безопасным. Но может ли быть что-то в сети между нашим сервером и клиентским запросом - например, плохой прокси-сервер - что в некоторых случаях мешает соединению?
Если у кого-нибудь есть совет, я буду признателен. Я в своем уме.
(Обратите внимание, я не нахожусь ни в одном из трех мест, и у меня нет прямого доступа к сетевой инфраструктуре для диагностики. Я должен знать конкретную проблему, которую я хочу решить, прежде чем осмелюсь подойти к ИТ. В любом случае заранее спасибо!)