Wieder so ein komisches Ding mit dem IE.

IE ist auch End of Life. Der wird in keiner Entwicklerbude mehr beachtet, wenn entschieden wird, welche Protokolle und Techniken zur Seitenerstellung verwendet werden. Einfach erklärt: der versteht die (technischen) Sprachen, die 2021 im Web gesprochen werden, einfach nicht mehr. Manche Server blocken dann auch den Zugriff mit alten IE-User-Agents, weil das meistens nur dumme Bots mit gefälschten User-Agents sind. Und die derzeitigen SSL-Standards wird er vermutlich auch nicht beherrschen, während alte Standards (die er beherrschte) serverseitig nicht mehr unterstützt werden, da sie nicht mehr sicher sind.

Mit anderen Worten: Du brauchst nen anderen Browser, besser noch ein anderes Betriebssystem und einen anderen Browser.

Google schaltet auf http: zurueck; seo-nw besteht auf https: was dein IE nicht versteht - sieht man ja auch in der adresszeile.

Welche Version hast du denn?

Also der schaut mir, mit den kleinen, gleich großen vor- und zurück-Buttons und dem "Home-Button" rechts im Eck sehr nach einem IE 9 aus.

What? Dann geh mal bitte auf http://www.belegungskalender-kostenlos.de . Da waren gestern erst noch an die 20 User mit IE 11 und Win7 drauf.

Ah, wie Chris oben sagte. Moderne Technik vr. alter Browser. Bei Alex auf dem Server brauchst Du TLS 1.2 oder TLS 1.3 und aktuelle "Cipher Suites". Genau die modernen "Cipher Suites" fehlen dem IE 11 unter Win 7. Daher kommt: "Server sent fatal alert: handshake_failure". Der IE11 unter Win10 würde in dem Fall gehen.

Meine Seite von oben sollte noch gehen, denn der Server akzeptiert noch ältere.

Die aelteren TLS versionen hatten aber imho sicherheitsluecken die erst mit einer komplett neuen version und rewrite der libaries gefixt werden konnten; und niemand macht bugfixes fuer 10 jahre alte browser. Die leute schreiben ja auch nicht aus langeweile und ohne not neue software wenn die alte noch problemlos laufen wuerde...

Zitat von Abakus Forumsfossil

Die leute schreiben ja auch nicht aus langeweile und ohne not neue software wenn die alte noch problemlos laufen wuerde...

Unabhängig vom Thema, den Eindruck habe ich aber häufig.

Es ist hier nicht unbedingt altes LTS. Empfohlen wird Version 1.2. und 1.3. Dein IE11 unter Win7 kann LTS 1.2. Das Problem hier sind die "Cipher Suites".

Das Forum hier kennt vier. Dein Browser an die 30 (fast alle davon schon geknackt). Aber keines von den 4 vom Forum stimmt mit Deinen genutzten überein. Daher LTS 1.2 ja, aber sprichst Du auch die gleiche Sprache wie ich? Nein.

Der IE11 unter Win7 arbeitet mit "TLS_DHE_RSA_WITH_AES_256_GCM_SHA384" oder "TLS_DHE_RSA_WITH_AES_128_GCM_SHA256". Das hat das Forum hier nicht, das hat gar keine "TLS_DHE_xxx".

Der IE11 unter Win10 arbeitet mit "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", also "TLS_ECDHE_RSA_xxx", das eben Dein IE11 nicht kann.

Der Link oben von mir, das ist ein alter Server, der kann auch noch mit TLS 1.1 und 1.0 und eben auch etlichen veralteten und unsicheren "Cipher Suites". Mein Ferien-Netzwerk.de hingegen müsste bei Dir auch laufen, obwohl es den gleichen oder sogar höher Standard hat als das Forum hier. Eben aber nur deswegen, weil ich neben den 4en von Alex auch noch zwei aus der Reihe "TLS_DHE_xxx" bereitstelle. Die braucht aber eigentlich nur noch der IE11 mit Win7 oder eben Win Mobile oder Win 8.1, alle andere nicht.

Immer das "Neueste" ist es ja auch gar nicht, es ist nur nicht was altes. Beim "Neuesten" würde gar kein IE mehr gehen, kein Android kleiner 10 usw.

Und so eine Umstellung macht man ja nicht zum Spaß. Du erinnerst Dich, ich fragte mal an, wer von euch hier wie viele Besucher mit IE10 und IE11 hat?

Genau der Grund. Drinnen lassen oder rauswerfen. Dann kommt aber auch noch anderes hinzu, z.B. Zertifikate in dem Fall LetsEncrypt. Um die neue Version von Ende Sept. 2021 nutzen zu können braucht man min OpenSSL 1.1.1g. Dieses kann aber wiederrum veraltete "Cipher Suites" nicht mehr.

Alex könnte problemlos die älteren "Cipher Suites" für IE11 / Win7 einbauen. Dann geht das Forum hier, Deine Seiten auch aber wohl vieles andere dennoch nicht. Win7 ist einfach zu alt bzw. die Kombi Win7 mit IE11. Mit FF und Chrome geht es ja auch mit Win7, denn die Browser bringen ihre eigenen mit.

Edit: Als Liste gesagt:

Deine IE-Win-Kombi kann die sicheren hier:

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

Alex Server die hier:

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

hab mich sogar verzählt, sind 3, nicht 4. Es gibt aber mit den 4ren von Dir keine Übereinstimmung.

Mein Ferien-netzwerk.de kann die hier:

TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

Ich habe also die gleichen "TLS_ECDHE_RSA_xxx" wie Alex, nur dass ich eben auch noch die beiden "TLS_DHE_RSA_xxx" dazu habe. Und die kann der IE11 unter Win7.

Edit 2: Und Du darfst auch nicht nur von "Surfen" ausgehen. Da muss ja alles zusammenpassen. Auf das Zeug greift ja nicht nur der Browser zurück, sondern auch Apache, Mailserver, Datenbank etc.

Wer was wo wie kann siehste z.B. hier: https://www.ssllabs.com/ssltest/analyz…altshotline.org

Wie man unten in der Liste sieht, nutzen alle die gleichen "Cipher Suites". Eine für TLS 1.2 und eine für TLS 1.3. Nur der IE11 tanzt aus der Reihe. Noch schlimmer ist aber Safari bis inkl. Version 8, denn der kennt gar keine ungeknackte Version.

Aber selbst der uralte FF47 kann die recht moderne "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256". Das hat der IE 11 unter Win7 nie gelernt.

Und was der IE11 in Verbindung mit Win7 kann oder nicht, das ist hier aufgelistet: https://www.ssllabs.com/ssltest/viewCl…Win%207&key=143

Zitat von guppy

Unabhängig vom Thema, den Eindruck habe ich aber häufig.

Da gebe ich Dir recht, im Fall von, wenn es nicht um SSL geht. Da habe ich das Gefühl auch. Es wird was neu gemacht, ohne wirklichen Grund und man braucht andere neue Komponenten oder gar einen neuen Rechner / Server.

Hier ist das anders. Bei den ganzen SSL Dingen muss man mitziehen. Man steht ja nicht alleine da und sagt sich, ich mach mal einfach, weil ich Spaß an der Freude habe. Musste auch vor 4 Wochen meinen Server quasi in einen Notfallumzug versetzen und dann eben alles neu machen. Dessen EOL war 2018 aber er lief fehlerfrei. Kostet auch nur 90 Eur mehr im Jahr bei weniger Leistung, also alles ok Grund war aber eben auch, weil andere Dienste dann versagen werden. Der Server schnurrte wie ein Kätzchen, keine Probleme, aber wenn der was nicht kann, was dann Pflicht wird, dann muss ich umziehen. Wenn man nun denkt, ein Update würde reichen.... Das wäre wie ein Update von Win XP auf Win 10 gewesen, also da würde ohnehin vieles nicht gehen.

Zitat von cura

Einer vom CCC sagte vor kurzem in einem Interview: Ich und zwei meiner Kollegen wären innerhalb von zwei Wochen in der Lage eine ganze Nation lahmzulegen und kampfunfähig zu machen.

Als ich vor kurzen gelesen hab: Trojaner kam als Update getarnt, hab ich noch gedacht: Gut, dass ich nicht so der Freund von Updates bin.

Klar sind die das. Das hat aber nicht unbedingt was mit SSL zu tun. Mein DNS-Provider war auch fast 22 Stunden offline und damit inkl. mir an die 200.000 Kunden. Angriff war halt direkt auf die DNS-Server. Kein Angriff im Sinne von, ich will da Daten haben, sondern ich lege den mit unnötigen Daten einfach lahm. DDoS eben. Das ist aber auch mit der Grund, warum Standards immer weiter erhöt werden. Diese "Cipher Suites" sind ja nicht gleich nur mir anderem Namen. Die haben verschiedene SIcherheitsklassen oder sind eben leichter kanckbar als andere. Andere wiederumg sind wesentlich sicherer, brauchen aber viel mehr Ressourcen, um den Datenstrom zu entschlüsseln. Letzteres ist ja der Sinn von BitCoin. Aber was CCC da meint, das ist was ganz anderes.

Ja, ich setze auch auf ordentliche Verschlüsselung. Bei cura habe ich gesehen, du kannst auch OCSP Stapling aktivieren in deinem Kundenmenue. Das solllte jeder Kunde selber machen, da greife ich nicht ein.

Also Cura, wennste mal 5 Minuten Zeit hast, ist im Kundenmenue unter den SSL Einstellungen.

Zitat von cura

D hast den Eindruck?

Dann hast Du den richtigen Eindruck. Die wollen verkaufen.

Hattest du schonmal mit softwareentwicklung zu tun? Ich glaube nicht. Verkauft wird ueber features, bugfixes dagegen kosten geld und bringen keine kunden.

Beispiel: Firma A entwickelt eine softwareloesung die bis runter auf Windows2000 funktioniert. Sie nutzt dafuer die Netzwerklibary von Firma B, weil sie gut und schnell ist und viele nuetzliche funktionen bietet. Den selben funktionsumfang selbst schreiben wuerde schaetzungsweise 1 jahr dauern; also kauft man lieber extern.

Firma B greift in ihrer software wiederum auf Windows dienste und treiber zurueck um mit der hardware zu kommunizieren.
Jetzt kommt microsoft und sagt "Sorry leute, die alten win2000 dienste gibt es nach 10 jahren im neuen win 7 nichtmehr, dafuer gibt es jetzt bessere unterstuetzung fuer IPv6, Wifi, energiesparoptionen und andere hardware die es im jahre 2000 noch nicht gab!"

Heisst also das Firma B ihre libary umschreiben muss, und das softwareprodukt von Firma A jetzt auch nicht mehr auf win2000 laufen kann. Ja, die letzten 80 kunden die noch ein 10 jahre altes OS nutzen jammern, wollen aber Firma A auch keine $5000 zahlen damit man extra und nur fuer sie parallel eine "win2000" version der software entwickelt.

Zitat von cura

Sicherheitslücken? Alles ist voller Sicherheitslücken, wie die jüngste Entwicklung deutlich zeigt.

Einer vom CCC sagte vor kurzem in einem Interview: Ich und zwei meiner Kollegen wären innerhalb von zwei Wochen in der Lage eine ganze Nation lahmzulegen und kampfunfähig zu machen.

Das liegt aber fast immer an den unternehmen selbst. IT muss billig sein, richtige fachkraefte die sich auskennen wollen mehr als mindestlohn sehen und die strafen fuer fahrlaessige implementierungen, leaks oder verlorenen kundendaten sind ein witz. Meinst du der BWLer gibt pro jahr 200.000 fuer ein anstaendiges sicherheitskonzept aus, oder lieber 30.000 pro hack wenn es einen tag lang produktionsausfall gibt und backups eingespielt werden muessen?
Sicherheit kostet eben und ist ein prozess, kein zustand.

Imho sollte es fuer netzwerke genauso einen tuev geben wie fuer autos. Mit Windows 7 und IE9 bekommt man eben ein H-kennzeichen und darf nichtmehr schneller als mit 256kBit/s im internet unterwegs sein.

Zitat von cura

Als ich vor kurzen gelesen hab: Trojaner kam als Update getarnt, hab ich noch gedacht: Gut, dass ich nicht so der Freund von Updates bin.

Ja, kann man machen - dann soll man sich aber auch nicht wundern wenn man opfer einer attacke wird weil eine sicherheistluecke aktiv ausgenutzt wird die eigentlich schon vor wochen gefixt wurde.