Проблеми налаштування SSL на web-сервері.
У моїх друзів, сайти яких я підтримую більше 10-ти років несподівано трапилося неможливе для порозуміння. Раптово мої домени під IIS втратили трафік мобільних клієнтів від iPhone. Але під UBUNTU або у іншіх браузерах під IIS все працювало нормально. Я розгубився, як таке могло трапиться, щоб все працювало, крім Iphone?
Мені довелося провести ціле розслідування, поки я з'ясував причину. По-перше, я з подивом з'ясував, що сайти з Apache працюють повністю за іншім алгоритмом, ніж IIS. Подивиться бідь ласка нище і зверніть увагу, як відвантажуєтся рутовий сертифікат SSL. Перші три скріна - це UBUNTU, другі три скріна - це IIS. Зверніть увагу, що UBUNTU відвантажує рутовий сертифікат, а IIS - ні.
Фантастичність ситуації полягає у тому, що у УБУНТІ безліч помилок та застарілих протоколів, а у IIS все більш привабливо, але не УБУНТА на втратила трафік, а сайти під IIS втратили. Що робити далі?
Ну по перше я перевірив та налаштував та перевірив усі SSL-протоколи IIS. Подивитесь на них очима можна за допомогою окремої утілітки https://www.nartac.com/Products/IISCrypto/, але все одно налаштовуються вони ручками.
Подруге є ще одна корисна прога https://certifytheweb.com/, але зрозуміло щу у моєму випадку вона теж не допоможе.
Потрете я заборонив використання рутового сертифікату з трастового сховища сертифікатів, маючи собі на думці, що у цьому випадку IIS буде відвантажувати рутовий сертифікат.
Хм, не допомагає. Переробив серфтікат наново.
Потім наново завантажив їх скриптом у всі вузли IIS (як ви розумієте, один IIS працює є сертифікатами по IP-адресам, а не по вузлам, тобто завантажити можливо лише ручками, скриптом.
Нічого не допомагає !!! Справа ускладнюється тим, що купа інших SSL-чекерів лається на мій рутовий сертифікат та пропонує додати до сховища моїх трастових сертифікатів IIS якісь свої сертифікати. А локально встановлений Fiddler лається на рутовий сертітфікат мойого wildcard-сертифікату. Але все це стосується тільки роботи з Ipad та Iphone, браузери ФаерФокс та інші не бачать жодних помилок.
Ваша пропозиція? Що робити? Які наступні кроки? Підсказка, мій хостінг знаходиться за апаратним фаерволом ZYXEL.
)
|
|