Kann ein gutes SSL-Zertifikat auf dem Computer eines Clients fehlschlagen?

Question 1

Es gibt viele Gründe, warum ein Client ein Zertifikat als ungeeignet empfinden könnte. Höchstwahrscheinlich betrachtet der Client das Zertifikat nicht als Verkettung mit einem Vertrauensanker. Ich würde die Site durchQualys SSLLabs(was meiner Meinung nach das bei weitem umfassendste und informativste SSL-Testtool ist), aber diese Site unterstützt nur Dienste auf Port 443, daher fehlen uns dort einige nützliche Diagnoseinformationen.

An diesem Punkt ist es meiner Meinung nach an der Zeit, den Client zu fragen, was genau los ist, damit Sie das Problem mit einer ähnlichen Konfiguration reproduzieren können.

Answer

Es gibt viele Gründe, warum ein Client ein Zertifikat als ungeeignet empfinden könnte. Höchstwahrscheinlich betrachtet der Client das Zertifikat nicht als Verkettung mit einem Vertrauensanker. Ich würde die Site durchQualys SSLLabs(was meiner Meinung nach das bei weitem umfassendste und informativste SSL-Testtool ist), aber diese Site unterstützt nur Dienste auf Port 443, daher fehlen uns dort einige nützliche Diagnoseinformationen.

An diesem Punkt ist es meiner Meinung nach an der Zeit, den Client zu fragen, was genau los ist, damit Sie das Problem mit einer ähnlichen Konfiguration reproduzieren können.

Question 2

Da es so aussieht, als wäre der Client ein normaler Webbrowser, würde ich vermuten, dass das Problem nicht beim Browser selbst liegt, sondern dass SSL abgefangen wird. Dies ist sehr typisch für aktuelle Virenscanner auf der Clientseite (die normalerweise die erforderliche Proxy-CA in den CA-Speicher des Systems legen) oder für einige Middleboxes wie Firewalls in Unternehmensumgebungen. Normalerweise schlagen in diesem Fall auch andere SSL-Sites fehl, aber es kann auch sein, dass aufgrund des nicht standardmäßigen Ports eine spezielle Verarbeitung stattfindet.

Ein Blick auf das Zertifikat und die Kette, wie sie an den Client-Browser übermittelt werden, hilft wahrscheinlich bei der Behebung des Problems.

Answer

Da es so aussieht, als wäre der Client ein normaler Webbrowser, würde ich vermuten, dass das Problem nicht beim Browser selbst liegt, sondern dass SSL abgefangen wird. Dies ist sehr typisch für aktuelle Virenscanner auf der Clientseite (die normalerweise die erforderliche Proxy-CA in den CA-Speicher des Systems legen) oder für einige Middleboxes wie Firewalls in Unternehmensumgebungen. Normalerweise schlagen in diesem Fall auch andere SSL-Sites fehl, aber es kann auch sein, dass aufgrund des nicht standardmäßigen Ports eine spezielle Verarbeitung stattfindet.

Ein Blick auf das Zertifikat und die Kette, wie sie an den Client-Browser übermittelt werden, hilft wahrscheinlich bei der Behebung des Problems.

Question 3

Ja natürlich!Es gibt viele Gründe, warum ein Client ein ansonsten gültiges Zertifikat nicht akzeptiert. Hier sind nur einige häufige Gründe:

Ungültige Clientzeit.Dies ist die häufigste Ursache (d. h. wenn die BIOS-Batterie leer ist), obwohl es wahrscheinlich nicht das ist, was Sie stört.
Falscher Domänenname.Dies wird normalerweise durch Subdomains verursacht, die nicht im Zertifikat enthalten sind. Dies ist ein möglicher Clientfehler, wenn Ihr Browser dies nicht unterstützt.SNI, überprüfenHier. Die meisten modernen Browser unterstützen dies schon seit Ewigkeiten, die Ausnahme ist der Browser eines großen Softwareunternehmens, das Sie sicherlich kennen ;)
Unsichere Verschlüsselung.Ich weiß nicht, wie es bei anderen Browsern ist, aber Chrome zeigt seit Kurzem Verbindungen an, die HTTPS verwenden, aber eine Chiffre verwenden, die als unsicher gilt (RC4, SHA1).als unsicher. Ihr Client verwendet Chrome, daher ist dies eine Option. Bei mir wird die Verbindung als sicher angezeigt, aber dies ist möglicherweise veraltet.

Man-in-the-Middle-Angriff.Die Warnung, die der Browser immer anzeigt, aber die niemand liest. Dies kann ein echter Angreifer sein, der versucht, Daten abzuhören, oder ein Firmenproxy, der versucht, auszuspionieren, was auf einem exotischen Port vor sich geht. Außerdem gibt es einige AV- undWerbesoftwarebringt Ihren https-Zertifikatspeicher durcheinander.
Ungültige Zertifizierungsstelle.Das ist ungewöhnlich, aber wenn es passiert, sind die Ursachen schwer zu finden. Das beginnt damit, dass manche Browser bestimmte CAs nicht akzeptieren (z. B. ist CACert in Firefox blockiert). Manche Browser haben ihren eigenen Zertifikatspeicher (wieder Firefox), während andere vom Zertifikatspeicher des Systems abhängig sind, was noch schlimmer ist. Warum? Denn abgesehen davon, dass AV-, Ad- und NSA-Software Ihren Zertifikatspeicher auf allen Ihren Windows-Versionen durcheinanderbringt, haben Sie auch das Problem der distributionsspezifischen Akzeptanzvielfalt und der Unternehmensrichtlinien, die ihre eigenen installieren. Wenn ein Unternehmen einen AV-Proxy hat, müssen Sie stattdessen auf dessen Zertifikatspeicher zurückgreifen. Und das kann proxy-softwarespezifisch sein. Wenn das Ihr Problem ist, viel Glück.

Mit so wenigen Informationen ist es schwer, das genaue Problem Ihres Kunden zu ermitteln, aber ein Kundenproblem liegt definitiv vor.

Answer

Ja natürlich!Es gibt viele Gründe, warum ein Client ein ansonsten gültiges Zertifikat nicht akzeptiert. Hier sind nur einige häufige Gründe:

Ungültige Clientzeit.Dies ist die häufigste Ursache (d. h. wenn die BIOS-Batterie leer ist), obwohl es wahrscheinlich nicht das ist, was Sie stört.
Falscher Domänenname.Dies wird normalerweise durch Subdomains verursacht, die nicht im Zertifikat enthalten sind. Dies ist ein möglicher Clientfehler, wenn Ihr Browser dies nicht unterstützt.SNI, überprüfenHier. Die meisten modernen Browser unterstützen dies schon seit Ewigkeiten, die Ausnahme ist der Browser eines großen Softwareunternehmens, das Sie sicherlich kennen ;)
Unsichere Verschlüsselung.Ich weiß nicht, wie es bei anderen Browsern ist, aber Chrome zeigt seit Kurzem Verbindungen an, die HTTPS verwenden, aber eine Chiffre verwenden, die als unsicher gilt (RC4, SHA1).als unsicher. Ihr Client verwendet Chrome, daher ist dies eine Option. Bei mir wird die Verbindung als sicher angezeigt, aber dies ist möglicherweise veraltet.

Man-in-the-Middle-Angriff.Die Warnung, die der Browser immer anzeigt, aber die niemand liest. Dies kann ein echter Angreifer sein, der versucht, Daten abzuhören, oder ein Firmenproxy, der versucht, auszuspionieren, was auf einem exotischen Port vor sich geht. Außerdem gibt es einige AV- undWerbesoftwarebringt Ihren https-Zertifikatspeicher durcheinander.
Ungültige Zertifizierungsstelle.Das ist ungewöhnlich, aber wenn es passiert, sind die Ursachen schwer zu finden. Das beginnt damit, dass manche Browser bestimmte CAs nicht akzeptieren (z. B. ist CACert in Firefox blockiert). Manche Browser haben ihren eigenen Zertifikatspeicher (wieder Firefox), während andere vom Zertifikatspeicher des Systems abhängig sind, was noch schlimmer ist. Warum? Denn abgesehen davon, dass AV-, Ad- und NSA-Software Ihren Zertifikatspeicher auf allen Ihren Windows-Versionen durcheinanderbringt, haben Sie auch das Problem der distributionsspezifischen Akzeptanzvielfalt und der Unternehmensrichtlinien, die ihre eigenen installieren. Wenn ein Unternehmen einen AV-Proxy hat, müssen Sie stattdessen auf dessen Zertifikatspeicher zurückgreifen. Und das kann proxy-softwarespezifisch sein. Wenn das Ihr Problem ist, viel Glück.

Mit so wenigen Informationen ist es schwer, das genaue Problem Ihres Kunden zu ermitteln, aber ein Kundenproblem liegt definitiv vor.

Question 4

Sie haben ein Iframe auf der Seite, das ein ungültiges oder nicht vorhandenes SSL-Zertifikat hat.

Answer

Sie haben ein Iframe auf der Seite, das ein ungültiges oder nicht vorhandenes SSL-Zertifikat hat.

Kann ein gutes SSL-Zertifikat auf dem Computer eines Clients fehlschlagen?

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen