Неверная ошибка сертификата с IE9 на Win7 и Nginx с несколькими виртуальными хостами
У нас есть экземпляр Nginx с несколькими виртуальными хостами на одном IP-адресе. nginx.conf
имеет конфигурацию, аналогичную следующей:
server {
listen 443 default_server ssl;
server_name www.primary.com;
...
}
server {
listen 80;
server_name .primary.com;
rewrite ^(.*) https://www.primary.com$1 permanent;
}
server {
listen 443 ssl;
server_name www.secondary.com;
...
}
server {
listen 80;
server_name .secondary.com;
rewrite ^(.*) https://www.secondary.com$1 permanent;
}
server {
listen 443 ssl;
server_name www.tertiary.com;
...
}
server {
listen 80;
server_name .tertiary.com;
rewrite ^(.*) https://www.tertiary.com$1 permanent;
}
...
Каждый домен имеет свой собственный сертификат SSL. Все сертификаты имеют рейтинг A+ на SSLLabs.com. Однако все они показаны как несовместимые с браузерами, не поддерживающими SNI (например, IE8 в WinXP).
Пользователи обычно имеют доступ к http(s)://www.primary.com
, http(s)://www.secondary.com
, http(s)://www.tertiary.com
и т.д. просто отлично. Однако некоторые пользователи IE9 в 64-разрядной версии Windows 7 жалуются, что они получают предупреждение безопасности (недействительный сертификат) при попытке доступа https://www.secondary.com
или же https://www.tertiary.com
, Если они отменяют предупреждение системы безопасности и продолжают работу, URL открывается нормально. Затем проверка сертификата из адресной строки браузера показывает сертификат для www.primary.com
вместо этого для запрошенного домена. Те же пользователи не сталкиваются с какими-либо проблемами с другими браузерами, такими как Firefox, Chrome или Opera на одном компьютере. Ни один другой пользователь не сообщил об ошибках (IE10, IE11, Safari, Windows 8, Mac OS и т. Д.). Также обратите внимание, что не все пользователи IE9 сталкиваются с этой проблемой. Мы видели пользователей IE9 в одной и той же сети, которые могут прекрасно обращаться к веб-сайтам.
Поскольку пользователи находятся в корпоративной среде, где использование браузера по умолчанию (IE9) поощряется ИТ-политиками, некоторые из затронутых пользователей серьезно относятся к предупреждению и отказываются продолжать использовать уязвимые сайты. Мы пробовали обычные варианты, такие как очистка кэша браузера.
Любые мысли или указатели о том, как найти и устранить основную причину? Нам бы хотелось, чтобы решение, которое мы могли реализовать на стороне сервера, не требовало никакого вмешательства со стороны пользователей (если только не было задокументированной проблемы с IE9 в Windows 7).