Сайты (в основном HTTPS) за брандмауэром TMG недоступны только в некоторых браузерах

У меня есть сайт, опубликованный с Forefront TMG как веб-сайт HTTPS. Имеет действительный сертификат SSL (EV). Сайт корректно отображается во всех браузерах, кроме Safari, Midori и Dolphin.

Проблема в Safari - нет никакой связи с сайтом. Как будто сайт не отвечает на запрос вообще. Файл не передан. Связь полностью мертва. По крайней мере, в течение длительного времени (от 30 секунд до пары минут).

У меня есть несколько разных сайтов, настроенных по HTTPS. Разные домены, разные IP и разные сертификаты. Сертификаты от разных эмитентов.

Проблема существует со всеми моими веб-сайтами HTTPS, ТОЛЬКО с браузерами Safari, Midori и Dolphin, все 3 сайта работают корректно в любом другом браузере. Лагов нет, проблем нет.

Я попытался отключить перенаправление HTTP на HTTPS на слушателе TMG, чтобы исключить проблему с сертификатом. Я не могу получить доступ к своим сайтам через http тоже. Однако они прекрасно доступны из браузеров Firefox, Opera, Chrome, IE, Vivaldi, Slimjet и Edge.

Иногда я могу отобразить одну страницу в Safari, но для ее отображения требуется более 30 секунд, но некоторые изображения (и / или CSS) отсутствуют. Затем - веб-сайт перестает работать, потому что происходит сбой AJAX на странице, хотя заголовки CORS правильно настроены, и ссылочные URL-адреса могут даже отвечать (с огромными задержками).

Выглядит это так: вы вводите URL и получаете сообщение о том, что сайт недоступен. Затем, если вы обновите страницу несколько раз, она наконец появится, но сильно сломана (как и многие файлы были недоступны).

В других браузерах лагов нет. Все файлы доступны сразу.

На моей вкладке Политика веб-доступа у меня отключены все параметры проверки и прокси-сервера.

Что самое странное - у меня есть другой сайт (HTTP) на том же сервере, но опубликованный на другом IP. Сайт работает на ВСЕХ браузерах без проблем. Кажется, что все IP -адреса и маршрутизация настроены правильно, и если бы их не было, как другие браузеры отображали бы сайты?

Кстати, это 100% не на самих сайтах. Даже если я пытаюсь открыть один HTML-файл или изображение с сайта, его нельзя получить с помощью Safari.

ВАЖНО: Информация о сертификате SSL сайта отображается правильно, это единственное, что скачивается с этих сайтов. Итак, я вижу значок замка, информацию о сайте, но нет контента. После разрешения HTTP-соединений он не работает ни по HTTP. Работает через HTTP в некоторых браузерах.

ВАЖНО: Все упомянутые сайты доступны во всех браузерах, когда TMG опущен (через VPN, при прямой ссылке на мой NLB IP).

Проблема началась, когда мы переместили наши виртуальные серверы на новые хосты в новой сети. В старой сети все работало. Но опять же - что имеет внутренняя сетевая конфигурация для сайтов, недоступных только в определенных браузерах?

Обновить

Я пробовал много вещей, например, изменение MTU на брандмауэре CISCO ASA, но это не помогло. Я попытался обновить свою конфигурацию SSL на TMG, используя это руководство:

Улучшение безопасности SSL в Forefront TMG

Я закончил с тестом, даже не завершенным. Кроме того, я получаю предупреждение о "несогласованной конфигурации сервера". И он останавливается сообщением "Длинное рукопожатие: hanshake не длиннее 0x200 байт: 132". Ну, у меня есть домены www.example.com и example.com по разным адресам. Это специально. И есть пара перенаправлений между 2 из них. Кстати, сайт www имеет собственный сертификат на тот случай, если кто-то наберет его URL с помощью https. Но это в основном не используется. И да, я заменил сертификат сервера без www, но www остается без обновления. Это ошибка, но она должна затрагивать только сайт www. Но тот, который плохо себя ведет, это https://example.com/, а не https://www.example.com/.

Что случилось? Так как в прошлый раз это работало хорошо, у меня была одна и та же виртуальная машина TMG на другом хосте. У меня были свои сайты на разных (старых) серверах IIS. У меня были разные внешние IP -адреса и нет DMZ. И сертификат был другим, более старым, с 128-битным ключом вместо 256. Не было межсетевого экрана CISCO ASA. После того, как мы переместили все сайты на новые машины, это случилось. Они работают в любом браузере, кроме Safari, Midori и Dolphin.

Обновить

Вот как это выглядит...:

Я подключен к внутренней сети через VPN, через ASA. Если я устанавливаю IP -адрес домена моего сайта прямо на внутренний адрес NLB - это работает. Если я установлю DMZ IP - это не так. И, конечно же, по внешнему IP - нет. Конечно - все 3 пути отлично работают в большинстве браузеров, затрагиваются только Safari, Midori и Dolphin.

Кстати, тот же CISCO ASA направляет мои веб-запросы в общедоступную сеть.

BTW2: чистый HTTP-сайт (без сертификата) от того же IIS->NLB->TMG->DMZ->ASA - работает с Safari без лагов и других проблем. Единственное, что я не проверял, - это удаление сертификата и настройка только HTTP-доступа. Это производственный веб-сайт, и если я пойду на это, я должен сделать это ночью и в огромной спешке.