Zaczęliśmy napotykać problemy podczas przeglądania większości witryn https.ERR_BAD_SSL_CLIENT_AUTH_CERT
Przykłady obejmują: https://technet.microsoft.com/, https://mail.google.com/, https://www.mozilla.org/en-US/firefox/new/, https://stackoverflow.com/
Wydaje się, że bezpieczne miejsca, które odwiedziliśmy wcześniej działać OK. Przykłady te obejmują: https://banking.westpac.com.au/, https://www.tppwholesale.com.au/login/, https://au.ingrammicro.com/
błędów które otrzymujemy są:
- Chrome:
ERR_BAD_SSL_CLIENT_AUTH_CERT
- Firefox:
SSL_ERROR_ACCESS_DENIED_ALERT
- IE11/Krawędź: No pomocny wiadomość, ale Schannel 36887 błędy są rejestrowane, doradzając
The TLS protocol defined fatal alert code is 49.
(Są one również rejestrowane w przeglądarce Chrome, ale nie Firefox, ponieważ używają biblioteki szyfrowania Mozilli NSS.)
Możemy zapobiec problemowi poprzez wyłączenie TLS1.1 & TLS1.2 i włączenie SSL2 & SSL3. Ponieważ SSL2/3 ma znane luki w zabezpieczeniach, chcemy rozwiązać ten problem poprawnie.
Problem zaobserwowano na maszynach Win7, Win8.1, Win10 WS2012R2. Ma wpływ na wszystkie nasze laptopy, z wyjątkiem tych, które nie były w biurze przez ponad miesiąc.
Rozległe googlowanie nie przyniosło niczego użytecznego - większość problemów związanych z połączeniem SSL, które są omawiane, koncentruje się na certyfikacie serwera.
Powyższe błędy wskazują, że był problem z certyfikatem klienta, że nasze przeglądarek wysyłanego do serwerów, więc mam następujące pytania:
- Do SSL2/3 mają różne wymagania certyfikat klienta TLS1.x ?
- Jakiego certyfikatu klienta używają przeglądarki (nie ma żadnych certyfikatów wymienionych w magazynie użytkownika lub komputerze)?
Mam nadzieję, że istnieje guru SSL/TLS, który może pomóc!
Ze względów bezpieczeństwa NIE wyłączaj TLS1.2, a ze względu na kompatybilność nie wyłączaj TLS1.1 i TLS1.0. Możesz bezpiecznie zdezaktywować SSL2 i prawdopodobnie SSL3 – Tom