Почему сайт обслуживает разные SSL-сертификаты для разных браузеров?
SSL сертификат на menswearireland.com и на www.menswearireland.com отлично работает на Safari, Chrome, SeaMonkey, K-Meleon, QtWeb, Firefox и Opera. Тем не менее, Internet Explorer утверждает, что есть ошибка:
Сертификат безопасности, представленный на этом сайте, не был выдан доверенным центром сертификации. Сертификат безопасности, представленный этим сайтом, был выдан для другого адреса сайта.
Проблемы с сертификатом безопасности могут указывать на попытку обмануть вас или перехватить любые данные, которые вы отправляете на сервер.
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)
Другой сайт, размещенный на том же управляемом сервере, не показывает ошибок: achill-fieldschool.com а также www.achill-fieldschool.com отлично работает на IE, хотя, насколько я могу судить, сертификат настроен одинаково.
Что я делаю неправильно?
Это сервер LAMPP под управлением Plesk.
Похоже, сервер показывает разные сертификаты для разных клиентов. Для некоторых клиентов это показывает сертификат RapidSSL, выданный www.menswearireland.com с menswearireland.com в качестве действительного альтернативного имени. Для других клиентов отображается сертификат Parallels Panel, выданный Parallels Panel, Вот результаты нескольких разных онлайн-проверок SSL: большинство говорят, что все в порядке, а две показывают ошибки.
Три онлайн-шашки говорят, что это действительно
Comodo SSL Check показывает его как действительный
DigiCert SSL Check показывает, что он действителен
SSL Shopper SSL Check показывает его как действительный
Общее название: www.menswearireland.com
SAN: www.menswearireland.com, menswearireland.com
Действительно с 2 октября 2012 г. по 4 ноября 2013 г.
Серийный номер: 559425 (0x88941)
Алгоритм подписи: sha1WithRSAEncryption
Эмитент: RapidSSL CA
Другая онлайн-проверка, кажется, видит совершенно другой сертификат
Проверка GeoCerts SSL показывает, что он недействителен
Общее название: Parallels Panel
Организация: Параллели
Действительно с 15 августа 2012 г. по 15 августа 2013 г.
Эмитент: Parallels Panel
Другой онлайн-чекер видит более одного сертификата
Проверка Symantic SSL показывает его как недействительный
Средство проверки установки сертификата подключилось к веб-серверу и прочитало его сертификаты, но не смог определить, какой сертификат является основным для веб-сервера.
Кстати, на обоих menswearireland.com а также achill-fieldschool.com домашняя страница будет перенаправлена с HTTPS на HTTP. Чтобы увидеть детали SSL, посетите страницу /account на обоих (эта страница будет перенаправлена с HTTP на HTTPS).
Я нашел больше информации в более подробной онлайн-проверке SSL.
https://www.ssllabs.com/ssltest/analyze.html?d=menswearireland.com
Этот сайт работает только в браузерах с поддержкой SNI
Насколько я понимаю, SNI (RFC 6066) - это метод размещения множества сайтов SSL на одном общем IP-адресе и порте. Это не работает в Internet Explorer в более старых версиях Windows (это связано с версией Windows, а не с версией Internet Explorer). Однако все наши сайты SSL имеют уникальный IP-адрес, поэтому нам не нужен SNI.
3 ответа
Получается, что в Plesk 11.0 недостаточно назначить сертификат SSL с веб-сайтом на выделенном IP-адресе. Вам также нужно перейти к списку IP-адресов ("Управление сервером"> "Инструменты и настройки"> "Инструменты и ресурсы"> "IP-адреса") и установить "Сайт по умолчанию" для каждого IP-адреса, который будет сайтом по этому адресу.
Если вы этого не сделаете, Plesk обслуживает сертификат таким способом, который требует SNI, что, скорее, устраняет преимущества размещения каждого защищенного сайта на выделенном IP-адресе.
Вы также можете установить сертификат SSL там, но это не нужно. Это кажется более запутанным, чем необходимо.
Когда я зашел на сайт https://www.menswearireland.com/ из локальной сети моей компании (брандмауэр-прокси и все), я получил ошибку SSL:
VERIFY DENY: depth=0, (18) self signed certificate: "Parallels Panel"
VERIFY DENY: depth=0, CommonName "Parallels Panel" does not match
URL "www.menswearireland.com"
Это будет означать, что сертификат, по-видимому, является самозаверяющим сертификатом, и для Internet Explorer это НЕТ.
Я знаю, что это старая тема, но она помогла мне решить аналогичную проблему. Я определил, что это связано с IPv6, а не с SNI. Оказывается, что Verizon Wireless и другие интернет-провайдеры все чаще используют IPv6 вместо IPv4. Это была неприятная проблема, потому что единственная общность, с которой я мог придумать, состояла в том, что большинство моих клиентов, у которых возникла проблема, использовали Verizon, но не все соединения Verizon LTE используют IPv6, поэтому некоторые работали правильно. В моем случае мне нужно было назначить сертификат IPv6-адресу на моем Plesk Server, а также IPv4-адресу, и проблема была решена.