Tags Palabras claves

SSL. IE no carga páginas que sí cargan otros navegadores

27/01/2009 - 12:46 por victor | Informe spam
Tengo un servidor apache tomcat en un Windows Server 2003. Hasta la semana
pasada los usuarios se conectaban a una aplicación web con certificados
emitidos por el propio serivdor sin ningún problema. Pero desde la semana
pasada no se puede acceder a dicho servidor pero sí desde otros navegadores
como Firefox o Mozilla.
El error de IE es exculsivamente "no se puede mostrar la página". Alguna
idea de donde puede venir el error? Y sobre como investigar el "problema" que
se está encontrando IE?

Preguntas similare

Leer las respuestas

#1 Enrique [MVP Windows]
28/01/2009 - 02:06 | Informe spam
¿Las pruebas que se han llevado a cabo con IE7 y otros navegadores se han realizado desde la misma máquina? Es importante destacar este dato: que en un mismo sistema se hallan instalados varios navegadores: IE7 no accede al servidor, pero otros navegadores, sí, todos utilizando el mismo proveedor de Internet.

Esto lo digo porque a veces los ISPs tienen mucho que ver en esto, aunque las causas pueden ser múltiples. ¿Esto se ha observado en una instalación determinada de IE7, o es una cuestión genérica?

Sería bueno, si es posible, que nos proporcionaras una dirección URL para acceder al servidor desde un IE7.



Saludos,
Enrique Cortés
Microsoft MVP - Windows Internet Explorer

www.ekort.blogspot.com


Windows Vista Ultimate SP2 Beta
Windows XP Profesional SP3
Internet Explorer 7 (Build 7.0.5730.13)
Internet Explorer 8 Release Candidate 1

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
_______________________________________________________________________________________
"victor" escribió en el mensaje news:
Tengo un servidor apache tomcat en un Windows Server 2003. Hasta la semana
pasada los usuarios se conectaban a una aplicación web con certificados
emitidos por el propio serivdor sin ningún problema. Pero desde la semana
pasada no se puede acceder a dicho servidor pero sí desde otros navegadores
como Firefox o Mozilla.
El error de IE es exculsivamente "no se puede mostrar la página". Alguna
idea de donde puede venir el error? Y sobre como investigar el "problema" que
se está encontrando IE?
Respuesta Responder a este mensaje
#2 victor
28/01/2009 - 09:49 | Informe spam
Los accesos fallidos son desde distintos equipos de distintos centros de
trabajo y de distintas ciudades y no siempre con IE7, está confirmado que en
algunos casos son versiones anteriores como IE6. En principio sí que sólo
está reportado el fallo ocon Internet Explorer, no con otros navegadores, y
confirmado el funcionamiento con Firefox y Mozilla.
Hasta la semana pasada, insisito, no había problemas de acceso con IE en sus
distintas versiones.
El servidor puede tener, mientras se soluciona la incidencia, desactivada la
autenticación de clienteen determinadas fases, de modo que no es muy
recomendable publicar la url, menos en este momento.

gracias por la ayuda, a ver si me podéis enfocar sobre los posibles
problemas. Vi que había una acutalización de seguridad la semana pasada, pero
aparentemente no tiene nada que ver con SSL no?

"Enrique [MVP Windows]" wrote:

¿Las pruebas que se han llevado a cabo con IE7 y otros navegadores se han realizado desde la misma máquina? Es importante destacar este dato: que en un mismo sistema se hallan instalados varios navegadores: IE7 no accede al servidor, pero otros navegadores, sí, todos utilizando el mismo proveedor de Internet.

Esto lo digo porque a veces los ISPs tienen mucho que ver en esto, aunque las causas pueden ser múltiples. ¿Esto se ha observado en una instalación determinada de IE7, o es una cuestión genérica?

Sería bueno, si es posible, que nos proporcionaras una dirección URL para acceder al servidor desde un IE7.



Saludos,
Enrique Cortés
Microsoft MVP - Windows Internet Explorer

www.ekort.blogspot.com


Windows Vista Ultimate SP2 Beta
Windows XP Profesional SP3
Internet Explorer 7 (Build 7.0.5730.13)
Internet Explorer 8 Release Candidate 1

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
_______________________________________________________________________________________
"victor" escribió en el mensaje news:
Tengo un servidor apache tomcat en un Windows Server 2003. Hasta la semana
pasada los usuarios se conectaban a una aplicación web con certificados
emitidos por el propio serivdor sin ningún problema. Pero desde la semana
pasada no se puede acceder a dicho servidor pero sí desde otros navegadores
como Firefox o Mozilla.
El error de IE es exculsivamente "no se puede mostrar la página". Alguna
idea de donde puede venir el error? Y sobre como investigar el "problema" que
se está encontrando IE?

Respuesta Responder a este mensaje
#3 victor
28/01/2009 - 17:18 | Informe spam
Más información, haciendo una traza de las comunicaciones entre el cliente y
el servidor con ambos navegadores, son prácticamente iguales salvo porque el
Hello de servidor que recibe el cliente IE viene encriptado usando MD5 8 el
cleinte Firefox recibe un Hello Server encriptado con AES, que forma parte de
las suites enviadas por Firefox (y ya he hecho la prueba también en Opera,
con igual resultado) y no así desde IE.
Hay alguna manera de "obligar" a IE a usar AES como suite de cifrado para
probar si es ese el problema? (ver este artículo:
http://www.microsoft.com/technet/se...61509.mspx)
Gracias de nuevo por la ayuda!
Respuesta Responder a este mensaje
#4 Enrique [MVP Windows]
28/01/2009 - 20:23 | Informe spam
Personalmente, pienso que este problema no está directamente relacionado con el tipo de algoritmo de encriptación usado, ya que los clientes (Firefox, IE, Opera...) soportan diferentes tipos de algoritmos (MD5, SHA-1, AES, etc...). Y quien establece el algoritmo usado en la comunicación SSL es la Autoridad de certificación. El documento informativo sobre seguridad de Microsoft (961509) habla sobre posibles ataques contra los certificados digitales X.509 firmados con el algoritmo de hash MD5, aunque Microsoft no tiene constancia de ataques específicos contra MD5, por lo que los certificados emitidos anteriormente que se firmaron con MD5 no están afectados y no es necesario revocarlos. Este problema sólo afecta a los certificados que se han firmado con MD5 después de la publicación del método de ataque.

La mayoría de las entidades emisoras de certificados raíz ya no usan MD5 para firmar los certificados, sino que han migrado al algoritmo SHA-1 más seguro.

Una alternativa válida para verificar si el certificado emitido por el servidor utiliza o no el algoritmo MD5 es comprobar los detalles del mismo (Ver certificado > Detalles> Algoritmo de firma > por ejemplo sha1RSA). Si realmente en las trazas de comunicaciones entre IE7 y el servidor aparece el algoritmo MD5 (vulnerable), y en cambio en las trazas entre Firefox y el servidor aparece un algoritmo distinto no vulnerable, hace pensar sospechosamente que quizá el certificado puede haber sido manipulado de alguna forma y debido a la seguridad que establece IE7 no se posible acceder al servidor ya que no da el certificado como válido (aunque en este caso debiera aparecer un error de certificado cuando se accede desde IE7 y no un simple "No se puede mostrar la página"). Esto es sólo una teoría ya que no dispongo de datos suficientes como para hacer las comprobaciones oportunas.

Más información:

Information regarding MD5 collisions problem
http://blogs.technet.com/swi/archiv...oblem.aspx


Saludos,
Enrique Cortés
Microsoft MVP - Windows Internet Explorer

www.ekort.blogspot.com


Windows Vista Ultimate SP2 Beta
Windows XP Profesional SP3
Internet Explorer 7 (Build 7.0.5730.13)
Internet Explorer 8 Release Candidate 1

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
_______________________________________________________________________________________
"victor" escribió en el mensaje news:
Más información, haciendo una traza de las comunicaciones entre el cliente y
el servidor con ambos navegadores, son prácticamente iguales salvo porque el
Hello de servidor que recibe el cliente IE viene encriptado usando MD5 8 el
cleinte Firefox recibe un Hello Server encriptado con AES, que forma parte de
las suites enviadas por Firefox (y ya he hecho la prueba también en Opera,
con igual resultado) y no así desde IE.
Hay alguna manera de "obligar" a IE a usar AES como suite de cifrado para
probar si es ese el problema? (ver este artículo:
http://www.microsoft.com/technet/se...61509.mspx)
Gracias de nuevo por la ayuda!
Respuesta Responder a este mensaje
#5 victor
29/01/2009 - 12:00 | Informe spam
Precisamente ese es uno de los problemas, la poca (mejor dicho, ninguna)
información que recibimos de Exporer sobre el problema que está encontrando
al conectarse a la página. Sabes si hay alguna manera de obtener más
información de Windows sobre el problema, hay algún log que nos pueda dar más
información? He comprobado tanto el visor de sucesos del cliente como el del
servidor y ninguno de los dos registra nada.



"Enrique [MVP Windows]" wrote:

Personalmente, pienso que este problema no está directamente relacionado con el tipo de algoritmo de encriptación usado, ya que los clientes (Firefox, IE, Opera...) soportan diferentes tipos de algoritmos (MD5, SHA-1, AES, etc...). Y quien establece el algoritmo usado en la comunicación SSL es la Autoridad de certificación. El documento informativo sobre seguridad de Microsoft (961509) habla sobre posibles ataques contra los certificados digitales X.509 firmados con el algoritmo de hash MD5, aunque Microsoft no tiene constancia de ataques específicos contra MD5, por lo que los certificados emitidos anteriormente que se firmaron con MD5 no están afectados y no es necesario revocarlos. Este problema sólo afecta a los certificados que se han firmado con MD5 después de la publicación del método de ataque.

La mayoría de las entidades emisoras de certificados raíz ya no usan MD5 para firmar los certificados, sino que han migrado al algoritmo SHA-1 más seguro.

Una alternativa válida para verificar si el certificado emitido por el servidor utiliza o no el algoritmo MD5 es comprobar los detalles del mismo (Ver certificado > Detalles> Algoritmo de firma > por ejemplo sha1RSA). Si realmente en las trazas de comunicaciones entre IE7 y el servidor aparece el algoritmo MD5 (vulnerable), y en cambio en las trazas entre Firefox y el servidor aparece un algoritmo distinto no vulnerable, hace pensar sospechosamente que quizá el certificado puede haber sido manipulado de alguna forma y debido a la seguridad que establece IE7 no se posible acceder al servidor ya que no da el certificado como válido (aunque en este caso debiera aparecer un error de certificado cuando se accede desde IE7 y no un simple "No se puede mostrar la página"). Esto es sólo una teoría ya que no dispongo de datos suficientes como para hacer las comprobaciones oportunas.

Más información:

Information regarding MD5 collisions problem
http://blogs.technet.com/swi/archiv...oblem.aspx


Saludos,
Enrique Cortés
Microsoft MVP - Windows Internet Explorer

www.ekort.blogspot.com


Windows Vista Ultimate SP2 Beta
Windows XP Profesional SP3
Internet Explorer 7 (Build 7.0.5730.13)
Internet Explorer 8 Release Candidate 1

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
_______________________________________________________________________________________
"victor" escribió en el mensaje news:
Más información, haciendo una traza de las comunicaciones entre el cliente y
el servidor con ambos navegadores, son prácticamente iguales salvo porque el
Hello de servidor que recibe el cliente IE viene encriptado usando MD5 8 el
cleinte Firefox recibe un Hello Server encriptado con AES, que forma parte de
las suites enviadas por Firefox (y ya he hecho la prueba también en Opera,
con igual resultado) y no así desde IE.
Hay alguna manera de "obligar" a IE a usar AES como suite de cifrado para
probar si es ese el problema? (ver este artículo:
http://www.microsoft.com/technet/se...61509.mspx)
Gracias de nuevo por la ayuda!


email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida