Los sitios web (principalmente HTTPS) detrás del firewall TMG son inaccesibles solo en algunos navegadores

Tengo un sitio publicado con Forefront TMG como sitio web HTTPS. Dispone de certificado SSL (EV) válido. El sitio se muestra correctamente en todos los navegadores excepto Safari, Midori y Dolphin.

El problema es que en Safari no hay ninguna conexión con el sitio web. Como si el sitio no respondiera a la solicitud en absoluto. No se transfiere ningún archivo. La conexión está completamente muerta. Al menos durante mucho tiempo (de 30 segundos a un par de minutos).

Tengo varios sitios web diferentes configurados a través de HTTPS. Diferentes dominios, diferentes IP y diferentes certificados. Los certificados son de diferentes emisores.

El problema existe con todos mis sitios web HTTPS, SÓLO con los navegadores Safari, Midori y Dolphin, los 3 sitios funcionan correctamente en todos los demás navegadores. Sin retrasos, no se informaron problemas.

Intenté deshabilitar la redirección de HTTP a HTTPS en el oyente de TMG para descartar el problema del certificado. Tampoco puedo acceder a mis sitios web a través de http. Sin embargo, son perfectamente accesibles desde los navegadores Firefox, Opera, Chrome, IE, Vivaldi, Slimjet y Edge.

A veces puedo mostrar una sola página en Safari, pero tarda más de 30 segundos en mostrarse, pero faltan algunas imágenes (y/o CSS). Luego, el sitio web falla porque falla AJAX en la página, aunque los encabezados CORS están configurados correctamente y las URL a las que se hace referencia pueden incluso responder (con grandes retrasos).

Se ve así: ingresa la URL y recibe un mensaje acerca de que el sitio es inaccesible. Luego, si actualiza la página varias veces, finalmente aparece, pero muy rota (como si muchos archivos fueran inaccesibles).

En otros navegadores no hay retrasos. Todos los archivos son accesibles inmediatamente.

En mi pestaña Política de acceso web tengo todas las opciones de inspección y proxy deshabilitadas.

Lo que es lo más extraño de todo: tengo otro sitio (HTTP) en el mismo servidor, pero publicado en una IP diferente. El sitio funciona en TODOS los navegadores sin problemas. Todas las IP y el enrutamiento parecen estar configurados correctamente y, si no lo estuvieran, ¿cómo mostrarían los sitios los otros navegadores?

Por cierto, no está 100% en los sitios web. Incluso si intento abrir un solo archivo HTML o una imagen del sitio, no se puede recuperar con Safari.

IMPORTANTE: La información del certificado SSL del sitio se muestra correctamente, esto es lo único que se descarga de esos sitios. Entonces veo el ícono del candado, información del sitio, pero ningún contenido. Después de permitir conexiones HTTP, tampoco funciona a través de HTTP. Funciona a través de HTTP en algunos navegadores.

IMPORTANTE: Todos los sitios mencionados son accesibles en todos los navegadores cuando se omite TMG (a través de VPN, cuando se hace referencia directamente a mi IP de NLB).

El problema comenzó cuando trasladamos nuestros servidores virtuales a nuevos hosts en una nueva red. En la red antigua todo funcionó. Pero, de nuevo, ¿qué tiene la configuración de la red interna para que los sitios sean inaccesibles solo en ciertos navegadores?

Actualizar

Intenté muchas cosas, como cambiar MTU en el firewall CISCO ASA, pero no ayudó. Intenté actualizar mi configuración SSL en TMG usando este tutorial:

Mejora de la seguridad SSL en Forefront TMG

Terminé con la prueba que ni siquiera se completa. Además, recibo una advertencia sobre "configuración del servidor inconsistente". Y se detiene con el mensaje "Solución alternativa para el protocolo de enlace largo: el protocolo de enlace no supera los 0x200 bytes: 132". Bueno, tengo el dominio www.example.com y example.com configurados en direcciones diferentes. Es a propósito. Y hay un par de redirecciones entre 2 de ellos. Por cierto, el sitio www tiene su propio certificado en caso de que alguien escriba su URL con https. Pero en la mayoría de los casos no se utiliza. Y sí, reemplacé el certificado del servidor que no era www, pero el www permanece sin actualizar. Es un error, pero debería afectar sólo al sitio www. Pero el que se porta mal eshttps://ejemplo.com, nohttps://www.ejemplo.com.

¿Lo que está mal? Como funcionó bien la última vez, tenía la misma máquina virtual TMG en un host diferente. Tenía mis sitios en servidores IIS diferentes (más antiguos). Tenía diferentes IP externas y no tenía DMZ. Y el certificado era diferente, más antiguo, con una clave de 128 bits en lugar de 256. No había ningún firewall CISCO ASA. Después de que movimos todos los sitios web a máquinas nuevas, sucedió. Funcionan en cualquier navegador excepto Safari, Midori y Dolphin.

Actualizar

Así es como se ve...:

Estoy conectado a la red interna vía VPN, vía ASA. Si configuro la IP del dominio de mi sitio directamente en la dirección NLB interna, funciona. Si configuro IP DMZ, no es así. Y, por supuesto, en IP externa, no es así. Por supuesto, las 3 rutas funcionan perfectamente en la mayoría de los navegadores, sólo se ven afectados Safari, Midori y Dolphin.

Por cierto, el mismo CISCO ASA enruta mis solicitudes web a la red pública.

Por cierto, sitio HTTP puro (sin certificado) del mismo IIS->NLB->TMG->DMZ->ASA: funciona con Safari sin retrasos ni otros problemas. Lo único que no he probado fue eliminar el certificado y configurar solo el acceso HTTP. Es un sitio web de producción, si quisiera hacerlo, debería hacerlo de noche y con mucha prisa.