Jump to content

Herausforderungen mit Zertifikaten beim Firefox


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hey zusammen,

ich habe ein Verhalten, welches ich mir nicht erklären kann.

In meinem Firefox habe ich per GPO auf den Zertifikatsstore aus dem Edge verwiesen, das scheint zu klappen.

Nun rufe ich eine interne Seite im Still "<Adresse>.<Server>.de" auf, die im Edge und im Chrome wunderbar klappt.

Der Firefox meldet jedoch einen Fehler:

 

Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut dieser Website nicht, weil das von der Website verwendete Zertifikat nicht für "<Adresse>.<Server>.de" . Das Zertifikat gilt nur für folgende Namen: "<Adresse>.<Server>.de" , <Adresse>, "<Adresse>.<Server2>.de" 

 
Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN

 

Wenn ich mir das Zertifikat anzeigen lasse (im Firefox direkt!) sehe ich den passenden Namen auch in den DNS Namen. Sprich SAN Zertifikat.

Also was will das Ding von mir noch? Er sagt ja selbst, dass dieser Name in der Liste der korrekten Namen vorhanden ist, er diesen jedoch nicht kennt? 

Hä?

Hat das einer von euch schon gehabt und Lösungsansätze?

Vielen Dank.

 

 

Gruß

 

 

Maik

Link zu diesem Kommentar

Moin,

 

ich meine, es gab mal ein Problem mit Firefox, wenn in den SANs sowohl ein konkreter FQDN stand als auch ein Wildcard-FQDN, der auf den konkreten auch gepasst hätte, also praktisch *.doma.in und www.doma.in. Dann wurde bei mail.doma.in bei Firefox anstandslos validiert und bei www.doma.in der o.g. Fehler geschmissen. 

 

Aber das ist die schwindende Erinnerung eines alten Mannes, braucht also nicht zu stimmen ;-) 

 

Kannst Du das Zertifikat noch einmal neu ausstellen, aber die Reihenfolge der SANs vertauschen, so dass der, den Du tatsächlich aufrufst, an erster Stelle steht?

Link zu diesem Kommentar

Hey zusammen, 

danke für eure Gedanken.

@tesso: Die Namen stehen unter "alternative Inhaberbezeichnungen", auch der Allgemeine Name (ist nur einer) klappt nicht. Gleicher Fehler.

@daabm: So geht es mir auch, der war irgendwo grundlegend anders. Ich weiß nur nicht mehr wo und habe es auch nicht gefunden bislang. Chrome + Edge sind ja glücklich...

@testperson: Na aber warum denn? Also ja, würde gehen. Aber meine CA ist doch grundsätzlich trusted, sprich auch mit einem öffentlichen Zertifikat, was ich anfordern würde wie das heutige, müsste ich das gleiche Verhalten provozieren.

@cj_berlin: Wir haben "nur" konkrete FQDNs, keine mit * oder ähnliches.  Ich habe den an erster Stelle im SAN auch schon versucht --> gleiches Verhalten. Oder den allgemeinen Namen = ersten alternativen Namen setzen? Das ist strange, aber das habe ich derzeit nicht. 

 

Gruß

Link zu diesem Kommentar

Beim FF muss doch auch "Alternativer Antragstellername: DNS-name=serveradresse" drin stehen. Wurde AFAIR irgendwann im Laufe des letzten Jahres umgestellt. Müsste das hier sein: https://www.mozilla.org/en-US/firefox/101.0/releasenotes/

Changed: Removed "subject common name" fallback support from certificate validation. This fallback mode was previously enabled only for manually installed certificates. The CA Browser Forum Baseline Requirements have required the presence of the "subjectAltName" extension since 2012, and use of the subject common name was deprecated in RFC 2818.

bearbeitet von Sunny61
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...