%20atr%C3%A1s%20do%20firewall%20TMG%20inacess%C3%ADveis%20apenas%20em%20alguns%20navegadores.png)
Tenho um site publicado no Forefront TMG como site HTTPS. Possui um certificado SSL (EV) válido. O site é exibido corretamente em todos os navegadores, exceto Safari, Midori e Dolphin.
O problema é que no Safari não há nenhuma conexão com o site. Como se o site não respondesse à solicitação. Nenhum arquivo é transferido. A conexão está completamente morta. Pelo menos por um longo período (30 segundos a alguns minutos).
Tenho vários sites diferentes configurados em HTTPS. Domínios diferentes, IPs diferentes e certificados diferentes. Os certificados são de emissores diferentes.
O problema existe com todos os meus sites HTTPS, SOMENTE com os navegadores Safari, Midori e Dolphin, todos os três sites funcionam corretamente em todos os outros navegadores. Sem atrasos, sem problemas relatados.
Tentei desabilitar o redirecionamento de HTTP para HTTPS no ouvinte TMG para descartar o problema do certificado. Também não consigo acessar meus sites por http. No entanto, eles são perfeitamente acessíveis nos navegadores Firefox, Opera, Chrome, IE, Vivaldi, Slimjet e Edge.
Às vezes consigo exibir uma única página no Safari, mas demora mais de 30 segundos para aparecer, mas faltam algumas imagens (e/ou CSS). Então - o site falha porque o AJAX na página falha, embora os cabeçalhos CORS estejam configurados corretamente e os URLs referenciados possam até responder (com grandes atrasos).
É assim: você insere a URL e recebe uma mensagem sobre o site estar inacessível. Então, se você atualizar a página várias vezes, ela finalmente aparecerá, mas muito quebrada (como se muitos arquivos estivessem inacessíveis).
Em outros navegadores não há atrasos. Todos os arquivos estão acessíveis imediatamente.
Na minha guia Política de acesso à Web, desativei todas as opções de inspeção e proxy.
O mais estranho de tudo é que tenho outro site (HTTP) no mesmo servidor, mas publicado em IP diferente. O site funciona em TODOS os navegadores sem problemas. Todos os IPs e roteamento parecem estar configurados corretamente e, se não estivessem, como os outros navegadores exibiriam os sites?
Aliás, não está 100% nos próprios sites. Mesmo se eu tentar abrir um único arquivo HTML ou uma imagem do site, ele não poderá ser obtido com o Safari.
IMPORTANTE: As informações do certificado SSL do site são exibidas corretamente, é a única coisa que é baixada desses sites. Então vejo o ícone do cadeado, informações do site, mas nenhum conteúdo. Depois de permitir conexões HTTP, ele também não funciona por HTTP. Funciona via HTTP em alguns navegadores.
IMPORTANTE: Os sites mencionados são todos acessíveis em todos os navegadores quando o TMG é omitido (por VPN, ao fazer referência direta ao meu IP NLB).
O problema começou quando migramos nossos servidores virtuais para novos hosts em uma nova rede. Na rede antiga tudo funcionou. Mas, novamente - o que faz com que a configuração da rede interna para sites seja inacessível apenas em determinados navegadores?
Atualizar
Eu tentei muitas coisas, como alterar o MTU no firewall CISCO ASA, mas não ajudou. Tentei atualizar minha configuração SSL no TMG usando este tutorial:
Melhorando a segurança SSL no Forefront TMG
Terminei com o teste nem concluído. Além disso, recebo um aviso sobre "configuração inconsistente do servidor". E para com a mensagem "Solução alternativa de handshake longo: hanshake não superior a 0x200 bytes: 132". Bem, tenho os domínios www.example.com e example.com definidos para endereços diferentes. É de propósito. E há alguns redirecionamentos entre dois deles. Aliás, o site www tem seu próprio certificado caso alguém digite seu URL com https. Mas geralmente não é usado. E sim, substituí o certificado do servidor não www, mas o www permanece sem atualização. É um erro, mas deve afetar apenas o site www. Mas aquele que está se comportando mal éhttps://example.com, nãohttps://www.exemplo.com.
O que está errado? Como funcionou bem da última vez, tive a mesma VM TMG em um host diferente. Eu tinha meus sites em servidores IIS diferentes (mais antigos). Eu tinha IPs externos diferentes e nenhuma DMZ. E o certificado era diferente, mais antigo, com chave de 128 bits em vez de 256. Não havia firewall CISCO ASA. Depois que movemos todos os sites para novas máquinas, isso aconteceu. Eles funcionam em qualquer navegador, exceto Safari, Midori e Dolphin.
Atualizar
Estou conectado à rede interna via VPN, via ASA. Se eu definir o IP do domínio do meu site diretamente para o endereço NLB interno - ele funciona. Se eu definir como DMZ IP - isso não acontece. E, claro, em IP externo - isso não acontece. Claro - todos os três caminhos funcionam perfeitamente na maioria dos navegadores, apenas Safari, Midori e Dolphin são afetados.
Aliás, o mesmo CISCO ASA encaminha minhas solicitações da web para a rede pública.
BTW2: Site HTTP puro (sem certificado) do mesmo IIS->NLB->TMG->DMZ->ASA - funciona com Safari sem atrasos ou outros problemas. A única coisa que não testei foi remover o certificado e configurar apenas o acesso HTTP. É um site de produção, se eu quisesse, faria à noite e com muita pressa.
Responder1
Isso parece um problema básico de conectividade de rede. Os sintomas normalmente são o que acontece com uma MTU mal configurada. Alternativamente, a TGM pode estar atrapalhando alguma coisa, mas não sei o suficiente para dizer.
Eu recomendo primeiro testar com um MTU reduzido - configurar o servidor ou o cliente ou ambos para um MTU de 1200 seria um bom ponto de partida. Alternativamente, você pode fazer wireshark na conexão para ver que tipo de parâmetros TCP estão sendo negociados e partir daí.
[Editar] A alteração do MTU no Windows depende um pouco da versão do Windows que você está executando, pois não está especificado. Acabei de fornecer o resultado genérico do Google: