Pourquoi le site propose-t-il différents certificats SSL à différents navigateurs? [fermé]


8

Le certificat SSL sur menswearireland.comet sur www.menswearireland.comfonctionne bien sur Safari, Chrome, SeaMonkey, K-Meleon, QtWeb, Firefox et Opera. Cependant, Internet Explorer prétend qu'il y a une erreur:

Le certificat de sécurité présenté par ce site Web n'a pas été émis par une autorité de certification de confiance. Le certificat de sécurité présenté par ce site Web a été émis pour une adresse de site Web différente.

Les problèmes de certificat de sécurité peuvent indiquer une tentative de vous tromper ou d'intercepter toutes les données que vous envoyez au serveur.

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)

Un autre site hébergé sur le même serveur géré ne présente aucune erreur: achill-fieldschool.comet www.achill-fieldschool.comfonctionne bien sur IE, même si je peux dire que le certificat est configuré de manière identique.

Qu'est-ce que je fais mal?

Il s'agit d'un serveur LAMPP exécutant Plesk.

Il semble que le serveur montre différents certificats à différents clients. Pour certains clients, il montre un certificat RapidSSL établi avec www.menswearireland.comavec menswearireland.comcomme autre nom valide. Pour les autres clients, il montre un certificat Parallels Panel, établi à Parallels Panel. Voici les résultats de quelques vérificateurs SSL en ligne différents: la plupart disent que ça va, tandis que deux affichent des erreurs.

Trois vérificateurs en ligne disent que c'est valide

Comodo SSL Check le montre comme valide

Comodo SSL Check le montre comme valide

DigiCert SSL Check le montre comme valide

DigiCert SSL Check le montre comme valide

SSL Shopper SSL Check le montre comme valide

SSL Shopper SSL Check le montre comme valide

Nom commun: www.menswearireland.com
SAN: www.menswearireland.com, menswearireland.com
Valable du 2 octobre 2012 au 4 novembre 2013
Numéro de série: 559425 (0x88941)
Algorithme de signature: sha1WithRSAE
Émetteur de chiffrement : RapidSSL CA

Un autre vérificateur en ligne semble voir un certificat complètement différent

GeoCerts SSL Check le montre comme invalide

GeoCerts SSL Check le montre comme invalide

Nom commun: Parallels Panel
Organisation: Parallels
Valable du 15 août 2012 au 15 août 2013
Émetteur: Parallels Panel

Un autre vérificateur en ligne voit plus d'un certificat

Symantic SSL Check le montre comme invalide

Symantic SSL Check le montre comme invalide

Le vérificateur d'installation de certificats s'est connecté au serveur Web et a lu ses certificats, mais n'a pas pu déterminer quel est le certificat principal du serveur Web.

Par ailleurs, sur les deux menswearireland.comet achill-fieldschool.comla page d'accueil redirigera de HTTPS vers HTTP. Pour voir les détails SSL, visitez la page des /accountdeux (cette page redirigera de HTTP vers HTTPS).


J'ai trouvé plus d'informations dans un vérificateur SSL en ligne plus détaillé.

https://www.ssllabs.com/ssltest/analyze.html?d=menswearireland.com

Ce site fonctionne uniquement dans les navigateurs avec prise en charge SNI

Ma compréhension est que SNI (RFC 6066) est une méthode pour mettre de nombreux sites SSL sur une adresse IP et un port partagés. Cela ne fonctionne pas sur Internet Explorer sur les anciennes versions de Windows (cela concerne la version de Windows, pas la version d'Internet Explorer). Cependant, tous nos sites SSL sont sur une adresse IP unique, nous ne devrions donc pas avoir besoin de SNI.


Je suppose que vous utilisez Parallels? On dirait que le certificat auto-signé Parallels Panel installé interfère avec ce domaine, peut-être installé sur la même IP?
TheCleaner

Réponses:


7

Il s'avère donc que dans Plesk 11.0, il ne suffit pas d'attribuer un certificat SSL avec un site Web sur une adresse IP dédiée. Vous devez également accéder à la liste des adresses IP (Gestion du serveur> Outils et paramètres> Outils et ressources> Adresses IP) et définir le "site par défaut" pour chaque adresse IP comme étant le site de cette adresse.

Si vous ne le faites pas, Plesk sert le certificat d'une manière qui nécessite SNI, ce qui évite plutôt les avantages de mettre chaque site sécurisé sur une adresse IP dédiée en premier lieu.

Vous pouvez également y définir le certificat SSL, mais cela n'est pas nécessaire. Cela semble plus déroutant que nécessaire.


Heureux que vous ayez résolu cela. Assurez-vous de marquer votre réponse comme acceptée lorsque vous en êtes capable.
jscott

Dès que j'ai lu cela, je suppose que c'était lié à SNI, étant donné qu'IE ne le prend pas en charge lorsque tous les autres navigateurs le font.
Mark Henderson

Et c'est toujours le cas dans Plesk 12. Votre réponse vient de me sauver la journée!
John

4

Lorsque j'ai accédé au site Web https://www.menswearireland.com à partir du réseau local de mon entreprise (proxy de pare-feu et tout le reste), j'ai reçu une erreur SSL:

VERIFY DENY: depth=0, (18) self signed certificate: "Parallels Panel"
VERIFY DENY: depth=0, CommonName "Parallels Panel" does not match         
URL "www.menswearireland.com"

Cela signifierait que le certificat est apparemment un certificat auto-signé et c'est un gros problème pour Internet Explorer.


Il existe un certificat RapidSSL à ce sujet, fonctionnant correctement sur tous les autres navigateurs et apparaissant sur le vérificateur SSL. Alors pourquoi diable un service différent est-il servi à IE et à vous?
TRiG

J'ai mis à jour la question avec quelques informations supplémentaires. Je suis très confus maintenant.
TRiG

@TRiG Je le serais aussi. Les deux sites sont donc hébergés sur la même instance LAMP? Ou s'agit-il de deux serveurs physiques / virtuels différents?
John aka hot2use

@TRiG J'obtiens deux adresses IP différentes pour les deux domaines, mais cela pourrait être que votre serveur LAMP récupère l'appel sur les deux adresses IP.
John aka hot2use

@TRiG Lorsque j'ai accédé au site nouvellement mentionné www.achill-fieldschool.com via HTTPS / SSL, je n'ai reçu aucune réponse. Le site Web a été affiché sans HTTPS / SSL.
John aka hot2use

2

Je sais que c'est un vieux fil, mais cela m'a aidé à résoudre un problème similaire. J'ai déterminé qu'il était lié à IPv6 par opposition à SNI. Il s'avère que Verizon Wireless et d'autres FAI utilisent de plus en plus IPv6 au lieu d'IPv4. C'était un problème frustrant car le seul point commun que je pouvais trouver était que la majorité de mes clients qui rencontraient le problème utilisaient Verizon, mais toutes les connexions Verizon LTE n'utilisent pas IPv6, donc certaines fonctionnaient correctement. Dans mon cas, j'avais besoin d'attribuer le certificat à l'adresse IPv6 sur mon serveur Plesk ainsi qu'à l'adresse IPv4 et le problème a été résolu.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.