FireFox обнаруживает отозванный сертификат, IE не делает
Наш обмен веб-доступа защищен сертификатом SSL. Когда я пытаюсь посетить веб-доступ в FireFox (v2 и v3.5), я получаю:
Secure Connection Failed
An error occurred during a connection to www.example.net.au.
Peer's Certificate has been revoked.
(Error code: sec_error_revoked_certificate)
Когда я смотрю сайт в IE, он загружается просто отлично, без каких-либо ошибок или предупреждений. Когда я просматриваю сертификат, я вижу, что срок его действия не истекает до 2010 года, и путь сертификации возвращается к thawte.
Я уже видел отозванные сертификаты в IE раньше, и обычно он запрещает доступ к сайту. Что может вызвать у FireFox грыжу, но IE не обнаружит ничего плохого?
(Пожалуйста, не расстраивайтесь по поводу выбора браузера)
4 ответа
Я нашел проблему. Я не знаю, почему сертификат был отозван, но он был добавлен в наш локальный центр сертификации и установлен в качестве доверенного. FireFox не должен ссылаться на наш локальный CA для сертификатов, но IE есть.
Перейдите на сайт, посмотрите на свойства сертификата и посмотрите, содержит ли он URL-адрес, по которому ЦС публикует свои списки отзыва сертификатов. Получить этот список и посмотреть, если сертификат указан в списке.
Какую версию IE вы используете? В старых версиях CRL, где не проверено, я забываю, в какой версии Microsoft добавила поддержку CRL. Я думаю, что вы можете отключить проверку CRL в IE, что заставляет меня задуматься, не включена ли проверка CRL в вашей системе.
Есть два механизма, которые контролируют проверку сертификата. CRL - это один из способов, но OCSP часто более удобен, поскольку его можно использовать в режиме реального времени. Одним из возможных объяснений вашей проблемы с Firefox является то, что он был настроен на отклонение сертификатов, которые он не может подтвердить как не аннулированные (тогда как IE не такой строгий).
Я предлагаю вам проверить свой сертификат на веб-сайте SSL Labs - https://www.ssllabs.com/ssldb/. Он должен дать вам больше информации о вашем статусе сертификата (в дополнение к выполнению подробной оценки безопасности вашего сервера SSL). Если это не поможет, не стесняйтесь писать мне лично (я запускаю SSL Labs, поэтому вы найдете мои контактные данные на странице контактов), и я помогу вам решить эту проблему.
Ну, "отозванный сертификат" означает, что он находится в некотором списке отзыва сертификатов (CRL). Может быть, FF и IE используют разные списки?
В Firefox списки отзыва настраиваются в разделе "Предпочтения" / "Дополнительно" / "Шифрование" / "Списки отзыва". К сожалению, здесь у меня нет IE, но я считаю, что CRL настроены где-то под защитой.
В моей стандартной установке FF списки отзыва не настроены, так что, может быть, у вас есть индивидуальная установка?