Firefox, «Сбой безопасного соединения» и сертификат клиента

9598
jww

У меня есть сертификат клиента для Satrtcom. Я пытаюсь пройти проверку подлинности в их службе, но получаю сообщение об ошибке «Сбой безопасного подключения» с кодом ошибки ssl_error_handshake_failure_alert:

enter image description here

Сертификат Startcom и закрытый ключ присутствуют в Keychain:

enter image description here

Сертификат правильно присваивается с использованием Питера Гутманна dumpasn1:

enter image description here

И это правильно дамп с помощью x509утилиты OpenSSL :

enter image description here

Брелок позволяет Firefox получить доступ к сертификату (я только что добавил его).

enter image description here

Однако проблема сохраняется. Отслеживая с помощью Wireshark, я вижу сообщение сертификата клиента, но в нем не отображается мой сертификат клиента (уведомление Certificate Lengthsравно 0):

enter image description here

Кто-нибудь знает, какие ручки нужно включить, чтобы Firefox отправлял сертификат, а не пустое сообщение сертификата?

ОБНОВЛЕНИЕ : с https://stackoverflow.com/questions/1331722/client-certificates-and-firefox, сертификат не указан в разделе «Мои сертификаты». Это ожидается, поскольку я хочу, чтобы Firefox использовал сертификат и закрытый ключ в связке ключей.

Таким образом, возникает вопрос, как я могу дать Firefox команду использовать сертификат и закрытый ключ в связке ключей?

ОБНОВЛЕНИЕ : Это похоже на ошибку Firefox на Mac OS X (была другая похожая ошибка в репортере ошибок Firefox). См. Невозможно использовать сертификат клиента, хранящийся в связке ключей Mac OS X (или не могу понять, как это сделать) .

Любые обходные пути для этой проблемы приветствуются.

1
Случайно ли работает другой браузер? Ramhound 10 лет назад 0
Спасибо Ramhound. Я не уверен, работают ли другие браузеры. Safari не работает, и я не могу его запустить. Меня это не волнует, потому что я использую другие браузеры, поэтому я никогда не тратил время на то, чтобы отследить проблему. В прошлом (около года назад), я считаю, это работало с Safari. jww 10 лет назад 0
Я спросил с намерением проверить, работает ли он с другими браузерами. Ramhound 10 лет назад 0
Спасибо Ramhound, понял. Тогда я не знаю, работает ли это. Насколько я могу судить, проблема, похоже, специфична для Firefox, поскольку он не отправляет сертификат клиента в сообщении Certificate. jww 10 лет назад 0
Ну, если вы не будете проверять, работает ли сертификат с Safari, я не могу помочь Ramhound 10 лет назад 0
Спасибо Ramhound. В прошлом это работало с Safari, но я не могу проверить это сейчас. Кроме того, он был импортирован в связку ключей, так что это вторая программа, которая проверила сертификат и закрытый ключ. Я не уверен, что фиксация на Safari, потому что проблема с Firefox. jww 10 лет назад 0
Вы можете использовать Chrome, если хотите. Суть в том, чтобы убедиться, что проблема с Firefox просто не распознает ваш сертификат как действительный или проблема в чем-то другом. Ramhound 10 лет назад 0
Спасибо Ramhound. Я экспортировал сертификат и выгрузил его, используя утилиту `dumpasn1` Гутмана и` x509` OpenSSL. Проблем не было. jww 10 лет назад 0
Я смог войти, экспортировав сертификаты из Firefox и импортировав их в Chromium, используя встроенный пользовательский интерфейс браузера, но это было в Linux, поэтому связка ключей не использовалась. unhammer 9 лет назад 0

1 ответ на вопрос

1
Capilé

Firefox не хранит пароли, сертификаты или учетные данные в KeyChain, вместо этого он использует свою внутреннюю базу данных хранения (в данных профиля Firefox).

Перейдите в «Настройки»> «Просмотр сертификатов»> «Импорт ...», чтобы импортировать сертификат в Firefox.

Это не эксклюзивно для Mac OS, цитата: https://wiki.mozilla.org/CA:AddRootToFirefox

Есть много организаций, которые используют свои собственные центры сертификации (CA) для выпуска сертификатов для своих внутренних серверов. Поскольку Firefox по умолчанию не использует хранилище сертификатов операционной системы, их необходимо добавить в Firefox вручную.

Спасибо @Capile. Да, это проблема: * "... они должны быть добавлены вручную в Firefox" *. В браузерах отсутствует защищенное хранилище, поэтому все их хранилище небезопасно. Вот почему мы хотим использовать цепочки для ключей (Android, iOS или OS X) или ProtectedStorage (Windows). Питер Гутман имеет очень хороший анализ цепочек ключей в [Engineering Security] (https://www.cs.auckland.ac.nz/~pgut001/pubs/book.pdf). jww 6 лет назад 0