Security Professionals - ipfw add deny all from eindgebruikers to any

security.nl SSL+Firefox - onverwacht gedrag

21-12-2010, 22:49 door Bitwiper, 9 reacties
Kennelijk is vandaag een nieuw SSL/TLS certificaat van kracht geworden op https://secure.security.nl/.

De installatie is echter incompleet, want naast het nieuwe server certficaat wordt het eveneens benodigde intermediate certificaat genaamd "Thawte DV SSL CA" niet meegezonden! Dit wordt bevestigd door http://www.networking4all.com/en/support/tools/site+check/:
Error while checking the SSL Certificate!!

Unable to get the local issuer of the certificate. The issuer of a locally looked up certificate could not be found. Normally this indicates that not all intermediate certificates are installed on the server.
Het zou me niet verbazen als de beheerder met Firefox getest heeft en er toen geen probleem is geconstateerd...

Bij een "maagdelijke" Firefox setup (software en user profile) bestaat dat probleem echter wel degelijk, en in MSIE krijg je momenteel sowieso een certificate error als je https://secure.security.nl/ opent.

Een mij onbekende eigenschap van Firefox blijkt te zijn dat als je ooit een site bezoekt die een intermediate certificate meestuurt, Firefox dat intermediate certificate automatisch aan jouw (persoonlijke!) certificate store toevoegt (ik weet niet of ik hier zo blij mee ben, moet daar nog eens goed over nadenken, maar dat is een andere issue).

Hoe kwam ik hierachter:
1) Ik kreeg begin van de avond een certificate error bij het bezoeken van https://secure.security.nl/, zowel met Firefox als met MSIE.
2) Wat puzzelen wees uit dat het niet meesturen van het intermediate certificate "Thawte DV SSL CA" de oorzaak van de foutmelding was.
3) Dus dacht ik, ik zoek daarnaar op Internet en importeer deze in Firefox, en kijk of dat het probleem oplost.
Door te zoeken naar: "thawte dv ssl ca" intermediate certificate vond ik https://ssltest7.bbtest.net/.
4) Daaruit knipte en plakte ik het onderste certificaat in een tekstfile en probeerde dat in Firefox te importeren. Tot m'n verbazing meldde Firefox dat dit certificaat niet geïmporteerd kon worden omdat het al in de certificate store zat!
5) Nog groter was m'n verbazing toen ik daarna opnieuw https://secure.security.nl/ opende en geen foutmelding meer kreeg...

Na wat verder puzzelen kon de oorzaak worden vastgesteld: slechts het openen van https://ssltest7.bbtest.net/ in Firefox leidt ertoe dat Firefox stilletjes het intermediate certificate importeert dat daarbij wordt meegezonden (en dan bedoel ik niet de tekst in de webpagina, maar het binaire certificaat bij het opzetten van de https verbinding). Vervolgens zijn er natuurlijk geen problemen meer met andere sites die dat certificaat niet meesturen.

Je kunt dit gedrag van Firefox testen door het betreffende certificaat ("Thawte DV SSL CA") te verwijderen (dat in mijn Engelstalige Firefox als een "Software Security Device" wordt aangeduid, in tegenstelling tot root certificaten die elk een "Builtin Object Token" zijn); na het bezoeken van https://ssltest7.bbtest.net/ bezoekt is dat intermediate certificaat weer present.

Hoewel ik het niet kende, is dit gedrag van Firefox niet iets nieuws; zie bijv. de onderste melding in http://forums.mozillazine.org/viewtopic.php?f=7&t=1172425. Kennelijk werkt die automagical import ook niet altijd even betrouwbaar, zie http://support.mozilla.com/en-US/questions/749550.

MSIE8 lijkt intermediate certificates niet automatisch te importeren (in elk geval niet als ik als ordinary user een site bezoek die zo'n certificaat meestuurt).

Conclusie: gebruik maagdelijke webbrowsers en vers aangemaakte gebruikersprofielen om websites te testen, in elk geval als het om SSL/TLS gaat!
Reacties (9)
22-12-2010, 09:04 door Anoniem
Ik krijg in FF deze melding: The certificate is not trusted because the issuer certificate is unknown.
22-12-2010, 09:42 door wizzkizz
Chrome (in mijn geval natuurlijk wel in de Comodo Dragon variant :P) geeft ook een foutmelding over het certificaat (niet vertrouwd). Kom ik er achter dat één van mijn eigen sites hetzelfde probleem heeft in Comodo Dragon, maar niet in IE789 en FF3. Hmm...
22-12-2010, 10:06 door anoniem lafbekje
Opera 11 dito
22-12-2010, 10:09 door Mysterio
Same here... maar dat is natuurlijk niet heel gek.
22-12-2010, 11:34 door SirDice
Zo "maagdelijk" is mijn Firefox nu ook niet meer maar ook ik krijg die SSL melding.
22-12-2010, 11:49 door Anoniem
Het blijkt inderdaad dat bij Thawte certificates tegenwoordig een intermediate certificate geinstalleerd moet worden om het goed te laten werken in alle browsers. De Firefox browser waar we het na installatie mee getest hebben blijkt dit certificate inderdaad al te hebben vandaar dat het ons niet opviel. Lessons learnt! Het wordt verholpen while we speak.

De beheerders.
22-12-2010, 21:39 door Bitwiper
Dank aan allen voor de reacties, en natuurlijk de beheerders voor het fixen!
28-12-2010, 17:22 door 0101
Ik vraag me af of het er iets mee te maken heeft, maar sinds kort heb ik ook geen problemen meer met inloggen.
24-05-2011, 10:29 door VandeKreeke
[admin] Het topic is hierbij gesloten. Het probleem is inmiddels opgelost. [/admin]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.