Firefox, "Sichere Verbindung fehlgeschlagen" und Client-Zertifikat

9947
jww

Ich habe ein Client-Zertifikat für Satrtcom. Ich versuche, mich bei ihrem Dienst zu authentifizieren, erhalte jedoch die Fehlermeldung "Sichere Verbindung fehlgeschlagen" mit Fehlercode ssl_error_handshake_failure_alert:

enter image description here

Das Startcom-Zertifikat und der private Schlüssel befinden sich im Schlüsselbund:

enter image description here

Das Zertifikat wird unter Verwendung von Peter Gutmanns Zertifikat korrekt gespeichert dumpasn1:

enter image description here

Und es wird korrekt mit dem OpenSSL- x509Dienstprogramm gesichert:

enter image description here

Der Schlüsselbund ermöglicht den Zugriff auf das Zertifikat durch Firefox (ich habe es gerade hinzugefügt).

enter image description here

Das Problem bleibt jedoch bestehen. Bei der Nachverfolgung mit Wireshark kann ich die Zertifikatsnachricht des Clients sehen, aber mein Clientzertifikat wird darin nicht angezeigt (Hinweis Certificate Lengths0):

enter image description here

Weiß jemand, welche Knöpfe verwendet werden sollen, damit Firefox das Zertifikat anstelle einer leeren Zertifikatnachricht sendet?

UPDATE : Von https://stackoverflow.com/questions/1331722/client-certificates-and-firefox wird das Zertifikat nicht unter "Meine Zertifikate" aufgeführt. Dies wird erwartet, da Firefox das Zertifikat und den privaten Schlüssel im Schlüsselbund verwenden soll.

Die Frage lautet also: Wie kann ich Firefox anweisen, das Zertifikat und den privaten Schlüssel im Schlüsselbund zu verwenden?

UPDATE : Dies sieht aus wie ein Firefox unter Mac OS X (es gab einen ähnlichen Fehler im Firefox Bug Reporter). Siehe Client-Zertifikat, das in einem Mac OS X-Schlüsselbund gespeichert ist, kann nicht verwendet werden (oder nicht wissen, wie dies ausgeführt wird) .

Alle Problemumgehungen für dieses Problem werden begrüßt.

1
Funktioniert ein anderer Browser zufällig? Ramhound vor 10 Jahren 0
Danke, Ramhound. Ich bin mir nicht sicher, ob andere Browser funktionieren. Safari ist kaputt und ich kann es nicht anfangen. Es ist mir eigentlich egal, dass es kaputt ist, seit ich andere Browser verwende. Deshalb habe ich mir nie die Zeit genommen, das Problem zu finden. In der Vergangenheit (vor etwa einem Jahr) hat es meiner Meinung nach mit Safari funktioniert. jww vor 10 Jahren 0
Ich habe mit der Absicht von Ihnen gefragt, ob es mit anderen Browsern funktioniert. Ramhound vor 10 Jahren 0
Ich danke Ramhound. Dann weiß ich nicht, ob es funktioniert. Das Beste, was ich sagen kann, scheint das Problem spezifisch für Firefox zu sein, da es das Client-Zertifikat nicht in der Zertifikatnachricht sendet. jww vor 10 Jahren 0
Wenn Sie nicht überprüfen können, ob das Zertifikat mit Safari funktioniert, kann ich nicht helfen Ramhound vor 10 Jahren 0
Danke, Ramhound. In der Vergangenheit hat es mit Safari funktioniert, aber ich kann es jetzt nicht testen. Außerdem wurde es in den Schlüsselbund importiert. Dies ist ein zweites Programm, das das Zertifikat und den privaten Schlüssel überprüft. Ich bin mir nicht sicher, was die Behebung von Safari ist, da das Problem bei Firefox liegt. jww vor 10 Jahren 0
Sie können Chrome verwenden, wenn Sie möchten. Der Punkt ist zu überprüfen, ob das Problem bei Firefox liegt, erkennt einfach nicht, ob Ihr Zertifikat gültig ist oder ob das Problem etwas anderes ist. Ramhound vor 10 Jahren 0
Danke, Ramhound. Ich habe das Zertifikat exportiert und mit Guttmans `dumpasn1 'und OpenSSLs` x509`-Programm abgelegt. Es gab keine Probleme. jww vor 10 Jahren 0
Ich konnte mich anmelden, indem ich die Zertifikate aus Firefox exportierte und sie mithilfe der integrierten Browser-Benutzeroberfläche in Chromium importierte. Dies war jedoch unter Linux so, dass kein Keychain beteiligt war. unhammer vor 9 Jahren 0

1 Antwort auf die Frage

1
Capilé

Firefox speichert keine Passwörter, Zertifikate oder Anmeldeinformationen in KeyChain, sondern verwendet stattdessen seine interne Speicherdatenbank (innerhalb der Firefox-Profildaten).

Gehen Sie zu Voreinstellungen> Zertifikate anzeigen ...> Importieren, um Ihr Zertifikat in Firefox zu importieren.

Dies ist für Mac OS nicht exklusiv und zitiert: https://wiki.mozilla.org/CA:AddRootToFirefox

Es gibt viele Organisationen, die ihre eigenen Zertifizierungsstellen verwenden, um Zertifikate für ihre internen Server auszustellen. Da Firefox standardmäßig nicht den Zertifikatsspeicher des Betriebssystems verwendet, müssen diese manuell in Firefox hinzugefügt werden.

Danke @Capile. Ja, das ist das Problem: * "... diese müssen manuell in Firefox hinzugefügt werden" *. Den Browsern fehlt geschützter Speicher, daher ist der gesamte Speicher unsicher. Deshalb möchten wir Keychains (Android, iOS oder OS X) oder ProtectedStorage (Windows) verwenden. Peter Gutmann hat eine sehr gute Analyse der Schlüsselketten von [Engineering Security] (https://www.cs.auckland.ac.nz/~pgut001/pubs/book.pdf). jww vor 6 Jahren 0