Recentemente, alguns usuários reclamaram de não conseguirem se conectar à versão HTTPS do nosso site (servido via Apache) pelo Firefox. O erro que recebem é:
Falha na Conexão Segura
Ocorreu um erro durante uma conexão com www.domain.com. O certificado do peer tem uma assinatura inválida. (Código de erro: sec_error_bad_signature)
A página que você está tentando visualizar não pode ser exibida porque não foi possível verificar a autenticidade dos dados recebidos.
Entre em contato com os proprietários do site para informá-los sobre esse problema.
Porém, a grande maioria dos nossos usuários não recebe nenhum tipo de erro aqui e tudo simplesmente funciona. Também não consigo reproduzi-lo do meu lado.
Minha pesquisa inicial me levou a acreditar que isso eraum bug no Firefox, e de fato para um usuário o problema desapareceu quando o Firefox se atualizou. Outro porém tem uma nova instalação do Firefox (de ontem) e verificou que ele está na versão estável mais recente (38.0.1 no momento desta redação).
- Não tenho certeza se isso está conectado, mas nosso certificado SSL usa SHA-1, quecausa um problema separado no Chrome.
Alguma idéia sobre o que pode estar causando isso?
Responder1
Hoje tive um cliente que importou um Certificado CA inválido com o mesmo nome (CA interno). Isso causou o sec_error_bad_signatureerro.
Removi o certificado CA errado do armazenamento de certificados confiáveis do Firefox e importei novamente o correto.
Responder2
Excluindo o cert8.dbarquivo conforme sugerido originalmenteaquiacabou sendo uma solução imprevisível para o problema. Para alguns usuários funcionou perfeitamente; outros, não fez nada. Na verdade, para alguns usuários, até mesmo desinstalar o Firefox e destruir suas APPDATApastas, entradas de registro e etc. do Firefox não corrigiu o erro.
Embora eu não tenha conseguido determinar se era o SHA-1 que estava causando o problema com os usuários do Firefox, a emissão de um novo certificado SSL corrigiu o problema para todos. Então, pelo menos, isso é uma solução alternativa ...