Наш обменный веб-доступ защищен сертификатом SSL. Когда я пытаюсь зайти в веб-доступ в FireFox (v2 и v3.5), я получаю:
Secure Connection Failed
An error occurred during a connection to www.example.net.au.
Peer's Certificate has been revoked.
(Error code: sec_error_revoked_certificate)
Когда я просматриваю сайт в IE, он загружается нормально, без ошибок и предупреждений. Когда я просматриваю сертификат, я вижу, что он не истекает до 2010 года, а путь сертификации возвращается к Thawte.
Я раньше видел отозванные сертификаты в IE, и обычно он категорически запрещает доступ к сайту. Что могло вызвать у FireFox грыжу, но IE ничего плохого не обнаруживает?
(Пожалуйста, не беспокойтесь о выборе браузера)
Есть два механизма, которые контролируют проверку сертификата. CRL - это один из способов, но OCSP часто более удобен, потому что его можно использовать в реальном времени. Одним из возможных объяснений вашей проблемы с Firefox является то, что он был настроен на отклонение сертификатов, которые он не может подтвердить как неотозванные (в то время как IE не такой строгий).
Я предлагаю вам проверить свой сертификат на веб-сайте SSL Labs - https://www.ssllabs.com/ssldb/. Он должен предоставить вам дополнительную информацию о статусе вашего сертификата (помимо выполнения подробной оценки безопасности вашего SSL-сервера). Если это не поможет, не стесняйтесь писать мне в частном порядке (я использую SSL Labs, поэтому вы найдете мои контактные данные на странице контактов), и я помогу вам решить этот вопрос.
Перейдите на сайт, посмотрите свойства сертификата и посмотрите, есть ли в нем URL-адрес, по которому ЦС публикует свои списки отзыва сертификатов. Получите этот список и посмотрите, есть ли в нем сертификат.
Какая версия IE у вас установлена? В старых версиях CRL не проверялись, я забыл, в какую версию Microsoft добавила поддержку CRL. Я думаю, вы можете отключить проверку CRL в IE, что заставляет меня задаться вопросом, отключена ли проверка CRL в вашей системе.
Что ж, «отозванный сертификат» означает, что он находится в каком-то списке отзыва сертификатов (CRL). Может быть, FF и IE используют разные списки?
В Firefox списки отзыва настраиваются в разделе «Настройки» / «Дополнительно» / «Шифрование» / «Списки отзыва». К сожалению, у меня здесь нет IE, но я считаю, что списки отзыва сертификатов настраиваются где-то в условиях безопасности.
В моей стандартной установке FF списки отзыва не настроены, так что, может быть, у вас настроенная установка?
Я нашел проблему. Я не знаю Зачем сертификат был отозван, но он был добавлен в наш локальный центр сертификации и установлен как надежный. FireFox не должен ссылаться на наш локальный CA для сертификатов, но IE.