Alguns clientes obtêm erro 'Falha na autenticação baseada em certificado' em um certificado, com todos os navegadores

Navegue suas respostas
1

Estou hospedando vários sites SSL em vários servidores Ubuntu / LAMP. Os servidores têm configuração bastante padrão, por exemplo. Nenhuma configuração de certificado de cliente está em vigor. A grande maioria dos usuários está bem, mas agora há dois casos em que um determinado certificado apresenta um erro em duas máquinas clientes (Vista e Windows 7). Eu depurei o caso com o usuário do Vista, e é isso que eu tenho até agora:

  • o problema ocorre apenas com um determinado *.domain.tld cert. Outras certificações muito similares servidas pelo mesmo servidor com as mesmas configurações funcionam bem. Outros certificados de outros servidores (bancos, Gmail, etc) funcionam bem também.

  • link

  • o problema ocorre pelo menos no Firefox 35, no Chrome 40 e no IE (não especificado).

  • O Chrome apresenta o erro Autenticação baseada em certificado com falha .

  • O Firefox apresenta o erro ssl_error_access_denied_alert .

  • O IE, naturalmente, fornece algumas páginas obscuras de "a página da Web não pode ser exibida".

  • a máquina está executando o Windows Defender, o firewall do Windows e uma versão do F-Secure. Tentei desativar todos eles, não ajudou.

  • A segurança para a família não está ativada.

  • isso não parece ser um erro de cadeia de CA.

  • isso não parece ser um erro relacionado a certificados de servidor inválidos.

  • o relógio está ajustado corretamente em ambas as máquinas

Parece-me que há algo errado na máquina do cliente. O que poderia ser isso? Configuração incorreta, malware, outra coisa?

O despejo de rede mostra que o handshake SSL não foi muito longe: (são todos os pacotes que vi no servidor)

(O site é exibido na porta padrão 443 . A porta do servidor 6443 mostrada aqui é mapeada para o padrão 443 em um firewall.)

Mais uma coisa: no log do servidor, vi algumas solicitações HTTP (não HTTPS) provenientes do IP do cliente com User-Agent: Microsoft Windows Network Diagnostics e também uma solicitação sem Host ou User-Agent header. Isso aconteceu durante a depuração pelo telefone com o usuário. O usuário certamente não fez essa solicitação manualmente.

Ainda mais uma coisa: o cliente pode acessar com sucesso os mesmos sites com HTTP.

    
por tuomassalo 23.02.2015 / 15:34

0 respostas

Tags

Automaticamente adicionando / expandindo nova linha em formulários do MS Access Outlook (2007 ou 2010): Não é possível copiar os itens