| woland255 > 04-04-2015 23:03:11 |
Доброе время суток
Прошу прощения, если не в тот форум, не уверен сюда или в обсуждение ff.
После обновления на ff37 перестал открываться по https собственный NAS снабженный самоподписанным сертификатом. Ошибка: "Ошибка при установлении защищённого соединения
При соединении с siteaddr произошла ошибка. библиотека безопасности: неверный формат сообщения в кодировке DER. (Код ошибки: sec_error_bad_der)
Страница, которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность полученных данных не может быть проверена.
Пожалуйста, свяжитесь с владельцами веб-сайта и проинформируйте их об этой проблеме."
И все. В 36-ом все было хорошо. В других браузерах тоже все хорошо. Открывается нормально если вместо dns-имя подставить ip, адрес с ip прописан в сертификате как альтернативнрое имя хоста.
Подскажите пожалуйста, как понять что именно не нравится в сертификате.
Большое спасибо. |
| banbot > 05-04-2015 00:19:10 |
Возможно это https://bugzilla.mozilla.org/show_bug.cgi?id=1088140. Попробуйте Firefox 38, и сообщите не изменился ли код ошибки. |
| woland255 > 05-04-2015 20:26:13 |
banbot пишетВозможно это https://bugzilla.mozilla.org/show_bug.cgi?id=1088140. Попробуйте Firefox 38, и сообщите не изменился ли код ошибки.
Увы, абсолютно та же ошибка. |
| banbot > 06-04-2015 11:54:29 |
woland255
Выложите тогда сюда этот сертификат, чтобы мы на него посмотрели. |
| woland255 > 06-04-2015 16:21:37 |
Вот.
http://forum.mozilla-russia.org/uploaded/my.zip |
| banbot > 06-04-2015 19:44:02 |
woland255
Это Bug 1148766 - Secure connection failed (sec_error_bad_der) due to certs with SAN dNSName entries incorrectly containing IP addresses
Firefox не переваривает сертификаты, где в расширении "Дополнительное имя субьекта" для "DNS name" указан IP-адрес. В вашем сертификате указано: DNS name: 192.168.30.110
DNS name: 192.168.30.110:5001
Уберите их и всё заработает. И можете отписаться в баге, если думаете, что это неправильно. |
| woland255 > 06-04-2015 20:32:52 |
Ок, на следующей неделе попробую и отпишусь. Ну или в конце этой, если повезет
Что мне совсем непонятно: что мешает открытым текстом сказать, что именно не так.
Спасибо за наводку |
| woland255 > 14-04-2015 20:58:39 |
Прошу прощения за задержку. попробовал - не помогло.
Новый сертификат:
http://forum.mozilla-russia.org/uploade … _www_1.zip
Ошибка таже самая. Что теперь не так?
Спасибо. |
| woland255 > 14-04-2015 21:32:22 |
Разобрался. Отвечаю сам себе и может кому-то пригодится.
Проблема действительно в IP адресе, но не в "Дополнительное имя субъекта", а в том, что IP был в CN.
Как только указал в CN имя хоста, все заработало. Далее, IP адрес в DNS name: 192.168.30.110 не вызывает той ошибки, но и не принимается. То есть сертификат все равно считается выданным для другого хоста. Для того, чтобы это работало, надо в "Дополнительное имя субъекта" указывать не "DNS:", а "IP:", тогда URL получается рабочим. И через хостнейм и через IP. |