Firefox не любит наши внутренние сертификаты. Я пытаюсь понять, почему ...
tl; dr - Наши внутренние серверы IIS, подписанные нашим внутренним центром сертификации, представляют страницу «Ошибка безопасного подключения» с техническими деталями, в которых указано «Подключение не зашифровано». Сертификат установлен во внутреннем хранилище сертификатов Firefox.
Вот наши сертификаты https://www.highlands.edu/site/is-certification-authority К сожалению, мы не можем открыть указанные внутренние серверы, чтобы вы могли увидеть точную страницу с ошибкой. Но вот скриншоты. https://imgur.com/a/dmMdG
Странная часть всего этого заключается в том, что наши внутренние сертификаты нормально работают на Apache (что говорит о том, что проблема в IIS). Однако наши серверы IIS отлично работают с любыми другими сертификатами, такими как сторонние (GeoTrust) или самозаверяющие (предполагая, что проблема в сертификате).
Если я добавлю исключение, например someinternal.highlands.edu, на странице about: config в «security.tls.insecure_fallback_hosts», тогда сайт заработает.
Если я смотрю журналы ошибок IIS, я снова и снова вижу следующие две ошибки, когда нажимаю на них с помощью FireFox (но не Chrome, IE, Safari и т. Д.)
Запрос на соединение TLS 1.2 был получен от удаленного клиентского приложения, но ни один из наборов шифров, поддерживаемых клиентским приложением, не поддерживается сервером. Запрос на соединение SSL не удался.
Сгенерировано фатальное предупреждение и отправлено на удаленную конечную точку. Это может привести к разрыву соединения. Код фатальной ошибки, определенный протоколом TLS, - 40. Состояние ошибки Windows SChannel - 1205.
Теперь в альбоме, который я разместил выше (https://imgur.com/a/dmMdG) на последних двух снимках экрана показан захват пакета из Wireshark. Похоже, что Firefox не поддерживает SHA512, что вроде поддерживается в этой статье (http://blogs.technet.com/b/silvana/archive/2014/03/14/schannel-errors-on-scom-agent.aspx). Я не совсем уверен, что это правда, и для Firefox кажется глупым отказываться от поддержки (раньше это работало), особенно если любой другой браузер в мире поддерживает это.
Итак, это все, что мы нашли, и некоторые из моих предположений. Кто-нибудь знает, что на самом деле происходит с Firefox? Я не могу найти ничего, что могло бы подтвердить мои предположения, и я все еще не уверен, что это то, что мы неправильно настроили в IIS, нашем внутреннем центре сертификации или просто ошибка в Firefox.
Во-первых, у вас на сервере установлено это обновление?
https://support.microsoft.com/en-us/kb/2973337
SHA512 как хеш-алгоритм в TLS 1.2 по умолчанию отключен в Windows. Вышеупомянутый патч включит его и, надеюсь, решит вашу проблему.
Причина, по которой ваши сторонние сертификаты работают сейчас, заключается в том, что они не будут использовать хэш SHA512 (по моему опыту это редко, люди просто мигрируют с SHA-1 и обычно переходят на вариант SHA256 SHA-2. ).
Если это не удастся, тогда ...
Можете ли вы запустить еще одну трассировку Wireshark при попытке подключиться к Firefox и опубликовать вывод списка наборов шифров приветствия клиента TLS.
Можете ли вы опубликовать список наборов шифров, которые в настоящее время настроен на прием вашего сервера IIS.
Я подозреваю, что в обоих списках нет наборов шифров.
Чтобы получить список на стороне сервера, я обычно использую скомпилированную версию кода, доступную здесь в разделе «Список поддерживаемых наборов шифров»;
https://msdn.microsoft.com/en-us/library/windows/desktop/bb870930(v=vs.85).aspx
Я загрузил скомпилированную мной версию в Dropbox, если вы хотите ее использовать (на ваш страх и риск, я не несу ответственности. Но это безопасно!)
https://www.dropbox.com/s/mvajmebtyilgics/listciphers.exe?dl=0
Если окажется, что это так, то вам нужно будет перенастроить свой сервер, чтобы он принимал более широкий список наборов шифров. Лучшим инструментом для работы в этом случае является IIS Crypto. Я всегда рекомендую использовать кнопку «Best Practices», это настройка одним щелчком мыши, чтобы перенастроить ваш сервер в соответствии с текущими передовыми практиками. Хотя, как всегда, сначала протестируйте!
https://www.nartac.com/Products/IISCrypto/
Также любопытно, что Firefox не рекламирует хэш-алгоритм SHA512 в приветственном сообщении клиента. Я только что проверил то же поведение на своей рабочей станции с помощью Firefox 37. Я еще немного покопаюсь в этом вопросе, поскольку мне любопытно ...