Chrome und Firefox zeigen Zertifikatsfehler, IE und Edge nicht

[Jonas5]

Hallo zusammen,

Ich habe da mal eine Frage zu Zertifikatsfehlermeldungen im Browser. Ich habe in meiner virtualisierten Testumgebung eine microsoft CA und habe über diese ein Zertifikat für eine Website ausgestellt (nennen wir diese xyz.meine-domain.de). Die Website ist nur über https erreichbar.

Gehe ich nun per IE oder dem altem Edge auf die Seite, erhalte ich keine Zertifikatswarnung. Gehe ich mit dem Chrome, Firefox oder Edge (Chromium) auf die Seite kommt immer eine Fehlermeldung. Das der Firefox standardmäßig einen eigenen Zertifikatsstore nutzt ist mir bekannt. Diesen habe ich bereits umkonfiguriert, aber ohne Erfolg.

Was ich bereits getestet habe:

• Zertifikat überprüft und einmal neu ausgestellt
• Zertifikats Innungen im IIS überprüft und erneuert
• Windows Zertifikatsstore auf Zertifikat der internen CA überprüft (CA gehört zu vertrauenswürdigen Stammzertifizierungsstellen)
• Zertifikats-Store der Browser überprüft (interne CA ist vorhanden)

Kennt jemand dieses Phänomen oder weiß wie man es umgehen kann ohne das Zertifikat manuell auf jedem Rechner hinzufügen zu müssen?

Gruß
Jonas5

 

[Hancock]

Was ist denn der Grund, dass die Browser meckern? Abgelaufen? Vertrauen dem CA nicht? Zu schwache Verschlüsselung?

 

[dasbene]

HTTPS mit TLS 1.1 und 1.2 werden von Firefox und Chrome als unsicher eingestuft. Ich denke Edge (und IE sowieso) sind noch nicht so weit.
Darum wäre der genaue Fehler mal gut zu wissen.

EDIT:
Firefox ab 78
Chrome ab 84

 

[wirelessy]

1.2 wär kritisch, aber ja, potenziell 1.0 und 1.1.
Jep, der genaue Fehler würde helfen.

 

[BFF]

Warum FF und Chrome meckern, liegt u.U. wirklich daran das sie einen eigenen Zertifikatsspeicher benutzen. @Jonas5
Und sie meckern, wenn es sich um selbst signierte Zertifikate handelt.

Ich meine mal gelesen zu haben, dass man die beiden ueberzeugen kann den von Windows mit zu benutzen.
Muesste ich buddeln.

Hast Du da eine Active Directory? Dort steht auch wie man es ohne machen kann.
-> https://www.techrepublic.com/articl...-authority-certificate-to-chrome-and-firefox/

Ausgehend vondem Artikel muss Du mal sehen ob es irgendwas aktuelleres gibt.

BFF

 

[Jonas5]

Moin!

Schon mal danke für die Antworten! Ich bin das ganze WE nicht zuhause, deshalb kann ich die Fehlermeldung erst am Montag nachliefern. Der internen CA wird aber vertraut und das Zertifikat ist noch zwei Jahre gültig, deshalb könnte es durchaus ein zu schwacher Verschlüsselungsstandard (TLS 1.0 und TLS 1.1) sein. Daran hatte ich noch gar nicht gedacht.

Ich würde am Montag über die Registry mal TLS 1.0 TLS 1.1, sowie 3DES und RC4 deaktivieren und dann mal gucken ob sich etwas ändert. Ich halte euch auf dem Laufenden .

Schönes Wochenende!

Gruß
Jonas5

 

[Jonas5]

So da bin ich wieder.

Also mit TLS hatte es tatsächlich gar nichts zu tun. Die Fehlermeldung hat eindeutig auf den Namen verwiesen. Dann habe ich mir nochmal das Zertifikat angeguckt und gesehen, dass das Zertifikat nicht auf "xyz.meine-domäne.de" ausgestellt war, sondern auf "xyz.MEINE-DOMÄNE.DE". Scheinbar war ich bei der Erstellung des Zertifikats in Gedanken und habe auch noch die Eintragung von alternativen DNS-Einträgen vergessen. Seltsam das dem alten Edge und dem IE das vollkommen egal ist.

Nachdem ich das Zertifikat jetzt nochmal auf "xyz.meine-domäne.de" ausgestellt habe, sind die Fehler weg.

 

[wirelessy]

Gerade die Nicht-Nutzung von SANs wird von Chrome/FF definitiv angemeckert. Upper-/Lowercase dürften ihm dabei aber egal sein.

IE und Edge haben sich über den Mangel an SANs nicht beschwert, weil interne Enterprise-Netze das ganz extrem nicht machen, und die ganzen IT-Abteilungen zusammengeklappt wären vor lauter "ey unser Intranet ist unsicher!!1!"-Anfragen.

RFC2818 im Jahre 2000 über Common Names:
Although the use of the Common Name is existing practice, it is deprecated and Certification Authorities are encouraged to use the dNSName instead.