HTTPS Seiten sehr langsam oder garnicht im IE

[Shinak 10]

Hallo Leute,

 

wir haben seit längerem das Problem das HTTPS Seiten über den Internet Explorer (IE9 aktuelles Update)(oder auch Google Chrom (nutzt die verschlüsselung vom IE)) bei dem ersten öffnen ca. 30 bis 60 sekunden laden bis sie geöffnet sind. Bei manchen Seiten kommt auch beim ersten oder zweiten mal anklicken die Meldung "Webseite kann nicht angezeigt werden" und erst nach mehrmaligem anklicken öffnet sich die Seite.

Die einzige Seite bis jetzt die ich garnicht aufbekomen haben weder im IE noch im Chrom ist https://addons.mozilla.org/de/firefox/ diese geht im Firefox aber ohne probleme auf genau so wie alle anderen HTTPS Seiten die ich getestet habe gehen im Firefox in max 4 Sekunden auf.

 

Sobald eine HTTPS Seite einmal im IE oder Chrome offen war ist die geschwindigkeit auf der Seite ganz normal bis man ca. 30 min nicht mehr auf der Seite gesurft hat oder man sich am System abmeldet und wieder erneut Anmeldet. Danach dauert es wieder min 30 bis 60 sec bis die Seite neu geladen ist bzw. es kommt die Fehlermeldung "Webseite kann nicht angezeigt werden".

 

Wenn ich die Option "Verschlüsselte Seiten nicht auf dem Datenträger speichern" Aktiviere gehen die Seiten ganz normal auf Problem ist nur dann Funktioniert das öffnen bzw. downloaden von z.b. PDF Dokumenten nicht mehr.

 

Was habe ich schon getan:

-McAfee vom System gelöscht.

-Deinstallation letzte IE9 Update

-Downgrade auf IE8

-Neu Installation IE9

-Google rauf und runter gesucht

-VMWaer Maschiene Erstelle (Windows 7 , in unserer Domäne, selbe GPO, alle Updates)

 

Auf der VMWare Maschine Funktionier der Aufruf von HTTPS Seiten über den IE ohne Probleme.

 

Ich hoffe irgendjemand ja noch eine Idee woran es liegen könnte und was ich noch testen könnte.

 

 

Gruß

Shinak

[Shinak 10]

Niemand irgend eine Idee ?

[Sunny61 806]

Starte den IE ohne AddOns: Start > Ausführen > iexplore.exe -extoff [ENTER]. Funktioniert es jetzt besser?

[Vainac 10]

Veilleicht mal mit Wireshark gucken, ob/was in dem Zeitraum passiert?

[Shinak 10]

Hallo Leute,

 

ich habe jetzt mal den Aufruf von HTTPS Seiten mit Fiddler Protokolliert und habe festgestellt das die Wartezeit immer dann ist wenn eine CRL Datei herunter geladen und geprüft wird (Zertifikatsperrliste). Diese war auf der VMWare Maschine aber nicht der fall.

Dann habe ich auf der VMWare Maschine den PKI Client (PKI Entrust Client) installiert und hatte da dann das selbe Problem. Zur gegenprobe habe ich dann auf meinem PC mal den PKI Entrust Client deinstalliert und siehe da das Problem ist verschwunden. Die HTTPS Seiten gehen ganz normal auf und es wird keine CRL Datei geladen und überprüft.

 

Gibt es irgend welche Einstellungen die ich machen kann so das auch mit PKI Client keine CRL Datei geladen und überprüft wird, da wir den PKI Client zur E-Mail Ver und Entschlüsselung benötigen.

 

Gruß

Shinak

[Sunny61 806]

Es gab kürzlich ein Stammzertifikatsupdate, ist das auf den betroffenen Clients installiert? KB931125 - Stammzertifikatsupdate (V36) für Windows 7 SP1 (April 2012) - 17.04.12 - patch-info.de

[Shinak 10]

Nein diese Update wurde nicht Installiert. So wie ich das verstehe brauchen wir das auch nicht

(In Windows 7 existiert (genauso wie in Windows Vista) ein standardmäßig aktivierter Mechanismus zum automatischen Überprüfen der Stammzertifikatsliste. Ausschließlich dann, wenn dieser Mechanismus z.B. über eine Gruppenrichtlinie deaktiviert wurde, kann die Installation von KB931125 unter Windows 7 (SP1) unter Umständen Sinn machen.)

[Shinak 10]

Problem gelöst.

 

Nachdem wir im IE die Option "Auf gesperrte Serverzertifikate überprüfen*" Deaktiviert haben gehen alle HTTPS Seiten in einer normalen Geschwindigkeit auf auch wenn der PKI Client Installiert ist.

 

Gruß

Shinak

[Shinak 10]

@Mod bitte auf Erledigt setzen oder so, ich kann aus irgend einer Grund den ersten Post von mir nicht editieren.

[olli65 0]

Ist das denn die Lösung? Das ist doch jetzt ein erhebliches Sicherheitsproblem, dass die Zertifikate nicht mehr auf Sperrung geprüft werden. Klar, wenn ich diesen Überprüfungsmechanismus rausnehme sind https - Seiten wieder schnell da, aber zu welchem Preis.

 

Ich suche seit Wochen nach einer Lösung für mein Problem, bisher ohne Erfolg.

 

Weiß noch jemand Rat?

 

olli

[Daniel -MSFT- 129]

ich habe jetzt mal den Aufruf von HTTPS Seiten mit Fiddler Protokolliert und habe festgestellt das die Wartezeit immer dann ist wenn eine CRL Datei herunter geladen und geprüft wird (Zertifikatsperrliste). Diese war auf der VMWare Maschine aber nicht der fall.

 

Hallo Shinak,

 

die Lösung lautet nicht, im IE die Option "Auf gesperrte Serverzertifikate überprüfen*" zu deaktivieren. Eine Amputation des Beines ist ja auch keine Lösung, wenn die Zehennägel zu lang sind. Wenn Du schon mit Fiddler protokolliert hast, dass es an der Abfrage der CRL liegt (was auch mein erster Verdacht wäre), dann schau doch lieber nach, warum die nicht abgerufen werden kann. Vermutlich filtert ihr ausgehenden Webtraffic. Also entweder an der Firewall die URL erlauben oder die Pakete nicht verwerfen (drop), sondern ablehnen (reject). Dann wartet nicht der Client bis zum Timeout auf eine Antwort, weil die Firewall ihm einfach das Paket weggeworfen hat, sondern erfährt von der Firewall, dass er nicht weiter auf eine Antwort warten muss.

 

@Olli: Bei Dir das gleiche: Die CRL muss erreichbar sein oder die Firewall muss das vernünftig rejecten.

 

Siehe dazu auch SSL (https) connection slow with one certificate but faster with others. Gefunden über http://lmgtfy.com/?q=https+slow+crl.

 

Have fun!

Daniel

[olli65 0]

Vielen Dank Daniel!

ich hatte die Firewall ausgeschaltet, habe keinen Pricy mehr ( ich hatte mal einen und das Entfernen dieses Proxys könnte im zeitlichen Zusammenhang mit meinem Problem stehen).

 

Habe hier eine Domäne mit Windows Server 2012. DNS liegt auf dem Server.

Allerdings habe ich das Problem auch, wenn ich meinem Client-PC direkt über den Gastzugang an die FritzBox hänge. Das Problem steckt also irgendwie in den Client - PCs, allerdings nur Windows 7 uns 8. Bei Windows XP habe ich das Problem nicht.

 

Hast Du noch eine Idee?

 

Besten Dank noch mal!

 

 

Olli

[Daniel -MSFT- 129]

Poste mal ipconfig /all von Server und Client und beschreib die Konfiguration des DNS-Servers (Forwarder?).. Wenn Du den Client an den Gastzugang der Fritzbox hängst, dann kann er den Server im LAN nicht mehr erreichen, richtig? Welche Firewall hast Du denn "ausgeschaltet"?

 

Have fun!
Daniel

[olli65 0]

Sorry, ich bin gestern nicht dazu gekommen. Ich war gar nicht am Rechner.

ipconfig / all kommt heute abend.

 

Dir Firewall ist eine Client - Firewall (Zonealarm). Die hatte ich für den Test mal probehalber ausgeschaltet.

Auf meinem DNS welches auf dem Domänencontroler mit den FSMO - Rollen läuft habe ich eine Forward - Lookup - Zine und eine Reverse - Lookup - Zone eingerichtet.

 

Am Gastzugang der Fritzbox habe ich einen völlig anderen IP - Adressen Bereich in dem der Server nicht erreicht werden kann. Es war der WLAN - Gastzugang mit dem ich das getestet habe.

 

Auffällig ist, dass das Problem mit den 30s Wartezeit beim Aufruf von https - Seiten alle Clients mit Windows 7 und 8 haben, aber nicht die mit Windows XP. Das kann doch dann nicht am Server (Firewall, DNS) liegen, oder?

 

Beste Grüße

Olli

[Sunny61 806]

Hast Du denn auf den XP-Clients ebenfalls die überflüssige FW Zonealarm im Einsatz?

[OT]
Weshalb braucht man eigentlich eine separate FW bei XP und höher? Was genau kann die eingebaute nicht?
Und die Gretchenfrage: Kaufst Du auch für jedes Auto in deinem Besitz ein anderes ABS zusätzlich und lässt das eingebaute ausbauen?

bearbeitet 6. Dezember 2013 von Sunny61