Недавно несколько пользователей пожаловались на то, что не могут подключиться к HTTPS-версии нашего сайта (обслуживаемой через Apache) из Firefox. Они получают следующую ошибку:
Ошибка безопасного соединения
Произошла ошибка при подключении к www.domain.com. Сертификат партнера имеет недействительную подпись. (Код ошибки: sec_error_bad_signature)
Страница, которую вы пытаетесь просмотреть, не может быть отображена, поскольку подлинность полученных данных не может быть проверена.
Пожалуйста, свяжитесь с владельцами сайта и сообщите им об этой проблеме.
Однако подавляющее большинство наших пользователей не получают здесь никакой ошибки, и все просто работает. Я также не могу воспроизвести это на своей стороне.
Мои первоначальные поиски привели меня к мысли, что это былоошибка в Firefox, и действительно, у одного пользователя проблема исчезла, когда Firefox обновился. У другого же была свежая установка Firefox (со вчерашнего дня), и он подтвердил, что у него последняя стабильная версия (38.0.1 на момент написания статьи).
- Я не уверен, связано ли это, но наш SSL-сертификат использует SHA-1, которыйвызывает отдельную проблему в Chrome.
Есть идеи, что может быть причиной этого?
решение1
Сегодня у меня был клиент, который импортировал недействительный CA-Certificate с тем же именем (внутренний CA). Это вызвало ошибку sec_error_bad_signature.
Я удалил неправильный сертификат CA из хранилища доверенных сертификатов Firefox и повторно импортировал правильный.
решение2
Удаление cert8.dbфайла, как изначально предлагалосьздесьВ итоге это было исправление проблемы методом проб и ошибок. Для некоторых пользователей это сработало гладко, для других вообще ничего не произошло. На самом деле, для некоторых пользователей даже удаление Firefox и уничтожение APPDATAпапок Firefox, записей реестра и т. д. не исправило ошибку.
Хотя я не смог определить, был ли SHA-1 причиной проблемы у пользователей Firefox, выпуск нового SSL-сертификата исправил это для всех. Так что, по крайней мере, это обходной путь...