MaikHSW 13 Geschrieben 9. Februar 2023 Melden Teilen Geschrieben 9. Februar 2023 Hey zusammen, ich habe ein Verhalten, welches ich mir nicht erklären kann. In meinem Firefox habe ich per GPO auf den Zertifikatsstore aus dem Edge verwiesen, das scheint zu klappen. Nun rufe ich eine interne Seite im Still "<Adresse>.<Server>.de" auf, die im Edge und im Chrome wunderbar klappt. Der Firefox meldet jedoch einen Fehler: Websites bestätigen ihre Identität mittels Zertifikaten. Firefox vertraut dieser Website nicht, weil das von der Website verwendete Zertifikat nicht für "<Adresse>.<Server>.de" . Das Zertifikat gilt nur für folgende Namen: "<Adresse>.<Server>.de" , <Adresse>, "<Adresse>.<Server2>.de" Fehlercode: SSL_ERROR_BAD_CERT_DOMAIN Wenn ich mir das Zertifikat anzeigen lasse (im Firefox direkt!) sehe ich den passenden Namen auch in den DNS Namen. Sprich SAN Zertifikat. Also was will das Ding von mir noch? Er sagt ja selbst, dass dieser Name in der Liste der korrekten Namen vorhanden ist, er diesen jedoch nicht kennt? Hä? Hat das einer von euch schon gehabt und Lösungsansätze? Vielen Dank. Gruß Maik Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 9. Februar 2023 Melden Teilen Geschrieben 9. Februar 2023 Steht der Name nur im cn oder auch im asn? Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 10. Februar 2023 Melden Teilen Geschrieben 10. Februar 2023 Schau Dir einfach das Zertifikat mal "ganz genau" an. Mit Edge herunterladen und in Datei speichern, "certutil -dump <Dateiname.cer>". Irgendwas muss falsch sein. Ich erinnere mich auch, daß da irgendwas war, wo Firefox derzeit empfindlicher reagiert als Edge, aber ich krieg's nicht mehr zusammen... Zitieren Link zu diesem Kommentar
testperson 1.676 Geschrieben 11. Februar 2023 Melden Teilen Geschrieben 11. Februar 2023 Moin, bei Am 9.2.2023 um 08:15 schrieb MaikHSW: "<Adresse>.<Server>.de" , warum nicht einfach ein von einer öffentlichen CA signiertes Zertifikat oder - wenns es kostenlos sein muss - Let's Encrypt, ZeroSLL, ... nehmen? Gruß Jan Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 11. Februar 2023 Melden Teilen Geschrieben 11. Februar 2023 Moin, ich meine, es gab mal ein Problem mit Firefox, wenn in den SANs sowohl ein konkreter FQDN stand als auch ein Wildcard-FQDN, der auf den konkreten auch gepasst hätte, also praktisch *.doma.in und www.doma.in. Dann wurde bei mail.doma.in bei Firefox anstandslos validiert und bei www.doma.in der o.g. Fehler geschmissen. Aber das ist die schwindende Erinnerung eines alten Mannes, braucht also nicht zu stimmen Kannst Du das Zertifikat noch einmal neu ausstellen, aber die Reihenfolge der SANs vertauschen, so dass der, den Du tatsächlich aufrufst, an erster Stelle steht? Zitieren Link zu diesem Kommentar
MaikHSW 13 Geschrieben 14. Februar 2023 Autor Melden Teilen Geschrieben 14. Februar 2023 Hey zusammen, danke für eure Gedanken. @tesso: Die Namen stehen unter "alternative Inhaberbezeichnungen", auch der Allgemeine Name (ist nur einer) klappt nicht. Gleicher Fehler. @daabm: So geht es mir auch, der war irgendwo grundlegend anders. Ich weiß nur nicht mehr wo und habe es auch nicht gefunden bislang. Chrome + Edge sind ja glücklich... @testperson: Na aber warum denn? Also ja, würde gehen. Aber meine CA ist doch grundsätzlich trusted, sprich auch mit einem öffentlichen Zertifikat, was ich anfordern würde wie das heutige, müsste ich das gleiche Verhalten provozieren. @cj_berlin: Wir haben "nur" konkrete FQDNs, keine mit * oder ähnliches. Ich habe den an erster Stelle im SAN auch schon versucht --> gleiches Verhalten. Oder den allgemeinen Namen = ersten alternativen Namen setzen? Das ist strange, aber das habe ich derzeit nicht. Gruß Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 14. Februar 2023 Melden Teilen Geschrieben 14. Februar 2023 Am 9.2.2023 um 08:15 schrieb MaikHSW: Das Zertifikat gilt nur für folgende Namen: "<Adresse>.<Server>.de" , <Adresse>, "<Adresse>.<Server2>.de" Vermutlich wärs einfacher, mal nen Screenshot von CN und SANs zu haben, aber was bedeutet da oben eigentlich das mittlere <Adresse>? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 14. Februar 2023 Melden Teilen Geschrieben 14. Februar 2023 (bearbeitet) Beim FF muss doch auch "Alternativer Antragstellername: DNS-name=serveradresse" drin stehen. Wurde AFAIR irgendwann im Laufe des letzten Jahres umgestellt. Müsste das hier sein: https://www.mozilla.org/en-US/firefox/101.0/releasenotes/ Changed: Removed "subject common name" fallback support from certificate validation. This fallback mode was previously enabled only for manually installed certificates. The CA Browser Forum Baseline Requirements have required the presence of the "subjectAltName" extension since 2012, and use of the subject common name was deprecated in RFC 2818. bearbeitet 14. Februar 2023 von Sunny61 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 14. Februar 2023 Melden Teilen Geschrieben 14. Februar 2023 Das war ja die erste Frage. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 14. Februar 2023 Melden Teilen Geschrieben 14. Februar 2023 Stimmt, das ASN hatte ich überlesen. @MaikHSW Ist das nur auf deiner FF Installation oder bei jeder auf die du Zugriff hast? Falls nur bei deiner, probier doch ein neues FF-Profil aus. Firefox.exe -P und dort ein neues Profil erstellen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.