Неверная ошибка сертификата с IE9 на Win7 и Nginx с несколькими виртуальными хостами

У нас есть экземпляр Nginx с несколькими виртуальными хостами на одном IP-адресе. nginx.conf имеет конфигурацию, аналогичную следующей:

server {
  listen      443 default_server ssl;
  server_name www.primary.com;
  ...
}

server {
  listen      80;
  server_name .primary.com;

  rewrite     ^(.*)   https://www.primary.com$1 permanent;
}

server {
  listen      443 ssl;
  server_name www.secondary.com;
  ...
}

server {
  listen      80;
  server_name .secondary.com;

  rewrite     ^(.*)   https://www.secondary.com$1 permanent;
}

server {
  listen      443 ssl;
  server_name www.tertiary.com;
  ...
}

server {
  listen      80;
  server_name .tertiary.com;

  rewrite     ^(.*)   https://www.tertiary.com$1 permanent;
}
...

Каждый домен имеет свой собственный сертификат SSL. Все сертификаты имеют рейтинг A+ на SSLLabs.com. Однако все они показаны как несовместимые с браузерами, не поддерживающими SNI (например, IE8 в WinXP).

Пользователи обычно имеют доступ к http(s)://www.primary.com, http(s)://www.secondary.com, http(s)://www.tertiary.comи т.д. просто отлично. Однако некоторые пользователи IE9 в 64-разрядной версии Windows 7 жалуются, что они получают предупреждение безопасности (недействительный сертификат) при попытке доступа https://www.secondary.com или же https://www.tertiary.com, Если они отменяют предупреждение системы безопасности и продолжают работу, URL открывается нормально. Затем проверка сертификата из адресной строки браузера показывает сертификат для www.primary.com вместо этого для запрошенного домена. Те же пользователи не сталкиваются с какими-либо проблемами с другими браузерами, такими как Firefox, Chrome или Opera на одном компьютере. Ни один другой пользователь не сообщил об ошибках (IE10, IE11, Safari, Windows 8, Mac OS и т. Д.). Также обратите внимание, что не все пользователи IE9 сталкиваются с этой проблемой. Мы видели пользователей IE9 в одной и той же сети, которые могут прекрасно обращаться к веб-сайтам.

Поскольку пользователи находятся в корпоративной среде, где использование браузера по умолчанию (IE9) поощряется ИТ-политиками, некоторые из затронутых пользователей серьезно относятся к предупреждению и отказываются продолжать использовать уязвимые сайты. Мы пробовали обычные варианты, такие как очистка кэша браузера.

Любые мысли или указатели о том, как найти и устранить основную причину? Нам бы хотелось, чтобы решение, которое мы могли реализовать на стороне сервера, не требовало никакого вмешательства со стороны пользователей (если только не было задокументированной проблемы с IE9 в Windows 7).

0 ответов

Другие вопросы по тегам