浏览器是否需要访问Internet以使用SSL浏览内部安全站点?

时间:2017-09-12 01:08:16

标签: ssl iis asp.net-web-api browser ssl-certificate

我有一个使用网络解决方案SSL证书的安全网站。可以从我公司可以访问Internet的环境中的计算机访问该网站。 (IIS将http调用重定向到https)。我在一个锁定的环境中有一个浏览器试图使用https访问同一个网站。锁定的环境无法访问互联网,但端口80和443对网站的服务器开放,我验证了从telneting到端口80&的响应。 443.(无论如何都与错误无关)。 IIS服务器可以访问Internet。

IE中的响应如下所示。 IE存在的问题在于它无法访问Internet,因此无法连接到网络解决方案(NS)进行验证,还是因为可能缺少NS的根证书? NS是一个众所周知的权威,所以这不太可能 (我正在使用https对WebAPI调用进行故障排除,以防有人认为这不是编程问题。在查看webapi之前,我必须让IE在同一台机器上正常工作)

enter image description here

1 个答案:

答案 0 :(得分:1)

TL; TR:通常不需要访问互联网来检查内部网站上的证书,但是有一些边缘情况。

访问具有内部CA签名证书的内部站点不需要互联网。如果内部站点具有由公共公共(即外部CA)签名的证书,则在大多数情况下也不需要因特网访问。在这种情况下可能会有一个减速,因为它可能会尝试在线检查吊销信息,但在大多数情况下,如果它无法到达服务器进行吊销检查,它将继续运行。如果证书是EV证书,或者浏览器配置为执行比通常更严格的撤销检查,则可能会失败。

但在您的情况下,它显示证书是由未知CA颁发的。这意味着系统上根本不知道此证书的根CA,或者服务器无法将构建信任路径所需的中间证书发送到根CA.在最后一种情况下,一些浏览器能够通过从互联网下载丢失的中间证书来解决这种破坏的配置 - 当然这需要互联网访问。在第一种情况下(缺少根CA),根CA存储的更新可以帮助Microsoft浏览器在后台进行互联网访问时可以执行的操作。

相关问题
最新问题