Firefox, „Bezpieczne połączenie nie powiodło się” i certyfikat klienta

1

Mam certyfikat klienta dla Satrtcom. Próbuję uwierzytelnić się w ich usłudze, ale otrzymuję błąd „Bezpieczne połączenie nie powiodło się” z kodem błędu ssl_error_handshake_failure_alert:

wprowadź opis zdjęcia tutaj

Certyfikat Startcom i klucz prywatny są obecne w pęku kluczy:

wprowadź opis zdjęcia tutaj

Certyfikat zrzuca poprawnie za pomocą Petera Gutmanna dumpasn1:

wprowadź opis zdjęcia tutaj

I zrzuca poprawnie za pomocą x509narzędzia OpenSSL :

wprowadź opis zdjęcia tutaj

Brelok umożliwia dostęp do certyfikatu przez Firefox (właśnie go dodałem).

wprowadź opis zdjęcia tutaj

Jednak problem nadal występuje. Śledząc za pomocą Wireshark, widzę komunikat certyfikatu klienta, ale nie widzę w nim certyfikatu mojego klienta (uwaga Certificate Lengthsto 0):

wprowadź opis zdjęcia tutaj

Czy ktoś wie, jakie pokrętła włączyć, aby Firefox wysłał certyfikat zamiast pustej wiadomości Certyfikatu?

AKTUALIZACJA : od https://stackoverflow.com/questions/1331722/client-certificates-and-firefox , certyfikat nie znajduje się na liście „Moje certyfikaty”. Jest to oczekiwane, ponieważ chcę, aby Firefox używał certyfikatu i klucza prywatnego w pęku kluczy.

Pojawia się więc pytanie: jak pouczyć Firefoksa, aby używał certyfikatu i klucza prywatnego w pęku kluczy?

AKTUALIZACJA : To wygląda jak błąd Firefoksa w systemie Mac OS X (był inny podobny błąd w raporcie błędów Firefoksa). Zobacz Nie można użyć certyfikatu klienta przechowywanego w pęku kluczy systemu Mac OS X (lub nie można dowiedzieć się, jak to zrobić) .

Wszelkie obejścia tego problemu są mile widziane.

jww
źródło
Czy inna przeglądarka działa przypadkowo?
Ramhound
Dzięki Ramhound. Nie jestem pewien, czy działają inne przeglądarki. Safari jest zepsute i nie mogę go uruchomić. Naprawdę nie dbam o to, że jest zepsuty, ponieważ używam innych przeglądarek, więc nigdy nie szukałem problemu. W przeszłości (około rok temu) uważam, że działało to z Safari.
jww
Zapytałem z zamiarem sprawdzenia, czy działa z innymi przeglądarkami.
Ramhound
Dziękuję Ramhound, gotcha. Więc nie wiem, czy to działa. Co mogę powiedzieć, problem wydaje się być specyficzny dla Firefoksa, ponieważ nie wysyła certyfikatu klienta w wiadomości Certyfikatu.
jww
Cóż, jeśli nie zweryfikujesz, czy certyfikat działa z safari, nie mogę pomóc
Ramhound

Odpowiedzi:

1

Firefox nie przechowuje haseł, certyfikatów ani poświadczeń w KeyChain, zamiast tego używa swojej wewnętrznej bazy danych pamięci (w ramach danych profilu Firefox).

Przejdź do Preferencji> Wyświetl certyfikaty ...> Importuj ..., aby zaimportować certyfikat do przeglądarki Firefox.

Nie dotyczy to wyłącznie systemu Mac OS, cytując: https://wiki.mozilla.org/CA:AddRootToFirefox

Istnieje wiele organizacji, które używają własnych urzędów certyfikacji (CA) do wydawania certyfikatów dla swoich serwerów wewnętrznych. Ponieważ Firefox domyślnie nie korzysta z magazynu certyfikatów systemu operacyjnego, należy je ręcznie dodać do Firefoksa.

Capilé
źródło
Dzięki @Capile. Tak, to jest problem: „... trzeba je ręcznie dodać do Firefoksa” . Przeglądarki nie mają chronionej pamięci, więc cała ich pamięć jest niepewna. Dlatego chcemy używać pęku kluczy (Android, iOS lub OS X) lub ProtectedStorage (Windows). Peter Gutmann ma bardzo dobrą analizę breloków w Engineering Security .
jww