¿Por qué Firefox no acepta mi certificado?

Question

¿Por qué Firefox no acepta mi certificado?

#1 de StackzOfZtuff (5 votos)
#2 de Polynomial (3 votos)

2

He estado intentando que stunnel funcione con mi certificado firmado (con una CA en la que confié en Firefox). El error es:

127.0.0.1:5559 utiliza un certificado de seguridad no válido.
  El certificado solo es válido para 127.0.0.1
  Código de error: SSL_ERROR_BAD_CERT_DOMAIN

Sin embargo, 127.0.0.1 está en nombres DNS alternativos. Aquí está mi archivo de configuración de OpenSSL:

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no
[req_distinguished_name]
CN = chacheserver.net
[v3_req]
keyUsage = digitalSignature, keyEncipherment, dataEncipherment, keyAgreement
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names
[alt_names]
DNS.1 = chacheserver.net
DNS.2 = *.chacheserver.net
DNS.3 = *.*.chacheserver.net
DNS.4 = *.*.*.chacheserver.net
DNS.5 = 192.168.1.130
DNS.6 = 192.168.1.70
DNS.7 = 192.168.2.130
DNS.8 = 192.168.2.70
DNS.9 = 192.168.8.70
DNS.10 = 192.168.8.130
DNS.11 = 127.0.0.1

tls openssl firefox

pregunta Basel Sayeh 01.05.2016 - 21:43

fuente

2 respuestas

3

Has agregado 127.0.0.1 a tu DNS alternativo para el certificado, pero 127.0.0.1 es una dirección IP, no un nombre de dominio. El campo DNS requiere el uso de un nombre de dominio, lo que significa que el cliente realiza una búsqueda en el nombre de dominio de la IP y obtiene localhost . Como esto no coincide ( "127.0.0.1" != "localhost" ), obtienes el error de falta de coincidencia.

El campo que está buscando es subjectAltName . Esto le permite establecer nombres comunes alternativos (CN), incluidas las direcciones IP.

respondido por el Polynomial 01.05.2016 - 22:09

fuente

Lea otras preguntas en las etiquetas tls openssl firefox

¿Cómo es posible que funcionen los descifradores de ransomware? Pregunta sobre VPN y actividades ilegales

score 5 · Accepted Answer

Intente marcar sus IP con el tipo IP. (en lugar del tipo DNS. ).

Es decir, haz que tu sección se vea así:

[alt_names]
DNS.1 = chacheserver.net
DNS.2 = *.chacheserver.net
DNS.3 = *.*.chacheserver.net
DNS.4 = *.*.*.chacheserver.net
DNS.5 = 192.168.1.130
DNS.6 = 192.168.1.70
DNS.7 = 192.168.2.130
DNS.8 = 192.168.2.70
DNS.9 = 192.168.8.70
DNS.10 = 192.168.8.130
DNS.11 = 127.0.0.1
IP.1 = 192.168.1.130
IP.2 = 192.168.1.70
IP.3 = 192.168.2.130
IP.4 = 192.168.2.70
IP.5 = 192.168.8.70
IP.6 = 192.168.8.130
IP.7 = 127.0.0.1

Algunos navegadores rotos (los antiguos Internet Explorer, creo) en realidad esperan que las IP se marquen como "DNS". Por lo tanto, para la compatibilidad con versiones anteriores, puede dejar las IP marcadas como están y TAMBIÉN agregarlas marcadas con el ID de tipo "IP".

Lectura adicional

Concepto general de SAN con OpenSSL: ApeTec, 2012-01-15, Varios nombres en un solo certificado . (Archivado aquí .)
navegadores rotos:
- MichaelM.Info: Direcciones IP en SubjectAltName en certificados de sitios web SSL #fail para algunos navegadores . (Archivado aquí .)
- Microsoft Connect respecto a esto: ID869717

Sidenote: probablemente no funcionen varios comodines.

No creo que muchos clientes acepten más que un solo comodín.

Por lo que probablemente aceptarán estos:

DNS.1 = chacheserver.net
DNS.2 = *.chacheserver.net

Pero recházalos:

DNS.3 = *.*.chacheserver.net
DNS.4 = *.*.*.chacheserver.net