Ja, es klingt wahrlich wie eine merkwürdige Kombination, wenn man den Titel so sieht, oder? Wie stehen diese Begriffe überhaupt in Verbindung. Und, was sind eigentlich SNI und TLS?

Ich gehe davon aus, dass die meisten den Internet Explorer kennen. ;-) Für diejenigen die das Glück hatten mit OS X oder Linux groß zu werden. McAfee ist eine Antivirus-Suite, die berüchtigt dafür ist, dass man sie nicht wirklich deinstallieren kann, egal was man macht - ja, dieses Charakteristikum erinnert ein wenig an Viren.

Begrifflichkeiten: Was sind TLS und SNI?

TLS ist der Nachfolger von SSL und sorgt dafür, dass ihr sicher über das Internet kommunizieren könnt und wisst, wer am anderen Ende ist. SNI wiederum ist kurz für Server Name Indication und ist schlichtweg eine Erweiterung von TLS, die dafür sorgt, dass mehrere Domains mit unterschiedlichen SSL-Zertifikaten auf einem Server und einer IP leben können.

Probleme mit dem SSL-Zertifikat

Wieso ich darüber schreibe? Ganz einfach. Es gab Probleme mit unserem SSL-Zertifikat. Haufenweise Leute bekamen von ihrem Browser (hauptsächlich Internet Explorer, aber auch andere) die Meldung, dass unsere Seite nicht das ist, wofür sie sich auszugeben scheint und das SSL-Zertifikat nicht passt.

Ich war fassungslos, da ich das gar nicht nachvollziehen konnte.

Nach viel Recherche durch Jonas (vielen Dank nochmal an dieser Stelle) und dann durch mich, stellte sich heraus, dass diese Browser wahrscheinlich SNI nicht unterstützen. Das war ein Schlag ins Gesicht. Ich zitiere Jonas:

vielen Dank für diese - deprimierenden - Screenshots.

Und dazu noch eine Auswahl der Screenshots:

Es war deswegen so traurig und verwirrend, weil eigentlich alle Browser die nicht Internet Explorer auf Windows XP sind, SNI unterstützen sollten. Noch mehr Recherche zeigte, dass die mangelnde SNI-Unterstützung in den meisten Fällen durch inaktives TLS verursacht wird, was noch trauriger ist.

TLS im Internet Explorer

Ob TLS aktiviert ist seht ihr unter Tools->Internet Options->Advanced relativ weit unten. Dort könnt ihr TLS1.0, TLS1.1 und TLS1.2 für den Internet Explorer auch aktivieren.

Bei Internet Explorern scheint es völlig willkürlich zu sein, weswegen TLS deaktiviert ist. Jetzt kommt McAfee ins Spiel. Ja, genau, die sind nämlich scheinbar Schuld. Ein Answers-Thread von Microsoft deutet darauf hin, dass McAfee selbst nachdem es deinstalliert wurde, noch verhindert, dass diese Option dauerhaft gesetzt werden kann. Völliger Schwachsinn, aber so ist es eben. Viele weitere Antivirus und Antimalware-Tools scheinen ein ähnliches Verhalten an den Tag zu legen, aus welchem Grund auch immer.

Fazit

Damit also der Zusammenhang: Internet Explorer kann kein SNI, weil TLS deaktiviert ist, was auf Antivirus-Software zurückzuführen ist. Wie krank das ist, kann ich kaum sagen.

Das Fazit ist: Ich werde jede Menge Support leisten müssen und erklären was da wieso los ist. :-/