Назад | Перейти на главную страницу

FireFox обнаруживает отозванный сертификат, IE - нет.

Наш обменный веб-доступ защищен сертификатом SSL. Когда я пытаюсь зайти в веб-доступ в FireFox (v2 и v3.5), я получаю:

Secure Connection Failed       

An error occurred during a connection to www.example.net.au.

Peer's Certificate has been revoked.

(Error code: sec_error_revoked_certificate)

Когда я просматриваю сайт в IE, он загружается нормально, без ошибок и предупреждений. Когда я просматриваю сертификат, я вижу, что он не истекает до 2010 года, а путь сертификации возвращается к Thawte.

Я раньше видел отозванные сертификаты в IE, и обычно он категорически запрещает доступ к сайту. Что могло вызвать у FireFox грыжу, но IE ничего плохого не обнаруживает?

(Пожалуйста, не беспокойтесь о выборе браузера)

Есть два механизма, которые контролируют проверку сертификата. CRL - это один из способов, но OCSP часто более удобен, потому что его можно использовать в реальном времени. Одним из возможных объяснений вашей проблемы с Firefox является то, что он был настроен на отклонение сертификатов, которые он не может подтвердить как неотозванные (в то время как IE не такой строгий).

Я предлагаю вам проверить свой сертификат на веб-сайте SSL Labs - https://www.ssllabs.com/ssldb/. Он должен предоставить вам дополнительную информацию о статусе вашего сертификата (помимо выполнения подробной оценки безопасности вашего SSL-сервера). Если это не поможет, не стесняйтесь писать мне в частном порядке (я использую SSL Labs, поэтому вы найдете мои контактные данные на странице контактов), и я помогу вам решить этот вопрос.

Перейдите на сайт, посмотрите свойства сертификата и посмотрите, есть ли в нем URL-адрес, по которому ЦС публикует свои списки отзыва сертификатов. Получите этот список и посмотрите, есть ли в нем сертификат.

Какая версия IE у вас установлена? В старых версиях CRL не проверялись, я забыл, в какую версию Microsoft добавила поддержку CRL. Я думаю, вы можете отключить проверку CRL в IE, что заставляет меня задаться вопросом, отключена ли проверка CRL в вашей системе.

Что ж, «отозванный сертификат» означает, что он находится в каком-то списке отзыва сертификатов (CRL). Может быть, FF и IE используют разные списки?

В Firefox списки отзыва настраиваются в разделе «Настройки» / «Дополнительно» / «Шифрование» / «Списки отзыва». К сожалению, у меня здесь нет IE, но я считаю, что списки отзыва сертификатов настраиваются где-то в условиях безопасности.

В моей стандартной установке FF списки отзыва не настроены, так что, может быть, у вас настроенная установка?

Я нашел проблему. Я не знаю Зачем сертификат был отозван, но он был добавлен в наш локальный центр сертификации и установлен как надежный. FireFox не должен ссылаться на наш локальный CA для сертификатов, но IE.