ERR_BAD_SSL_CLIENT_AUTH_CERT

Мы начали сталкиваться с проблемами при просмотре большинства сайтов https.

Примеры включают в себя: https://technet.microsoft.com/, https://mail.google.com/, https://www.mozilla.org/en-US/firefox/new/, /qaru.site/...

Похоже, что безопасные сайты, которые мы посетили ранее, работают нормально. Примеры включают: https://banking.westpac.com.au/, https://www.tppwholesale.com.au/login/, https://au.ingrammicro.com/

Ошибки, которые мы получаем:

  • Chrome: ERR_BAD_SSL_CLIENT_AUTH_CERT
  • Firefox: SSL_ERROR_ACCESS_DENIED_ALERT
  • IE11/Edge: нет полезного сообщения, но в Schannel 36887 регистрируются ошибки, сообщающие The TLS protocol defined fatal alert code is 49. (Они также регистрируются для Chrome, но не для Firefox, поскольку он использует библиотеку шифрования Mozilla NSS.)

Мы можем предотвратить проблему, отключив TLS1.1 и TLS1.2 и включив SSL2 и SSL3. Поскольку у SSL2/3 есть известные уязвимости, мы хотим решить эту проблему должным образом.

Проблема наблюдалась на машинах Win7, Win8.1, Win10 WS2012R2. Это касается всех наших ноутбуков, за исключением одного, который не был в офисе более месяца.

Широкое прибегание к гуглу не принесло ничего полезного - большинство обсуждаемых проблем с SSL-соединениями, похоже, сосредоточены на сертификате сервера.

Вышеуказанные ошибки указывают на то, что это проблема с сертификатом клиента, который наши браузеры отправляют на серверы, поэтому у меня есть следующие вопросы:

  1. У SSL2/3 есть другие требования сертификата клиента к TLS1.x?
  2. Какой сертификат клиента используют браузеры (у нас нет сертификатов, перечисленных в личных или пользовательских хранилищах компьютеров)?

Я надеюсь, что есть гуру SSL/TLS, который может помочь!

Ответ 1

Не нужно удалять ESET. Открыть ESET > Настройкa > Защита Интернетa > изменить "Защита веб-доступа" > expand "Веб-протоколы" > отключить "Включить проверку HTTPS".

Ответ 2

Похоже, что антивирус ESET является виновником. Спасибо Николасу Рей за пометку этого на форуме Chrome (см. https://productforums.google.com/forum/#!msg/chrome/WHw6ow1kGUs/MW3gt1hZEQAJ)

Опция отката, предложенная Николасом, не помогла, но удаление и повторная установка ESET разрешили проблему.

Ответ 3

В Eset зайдите в расширенную настройку. Затем нажмите WEB AND EMAIL, разверните SSL/TLS. Нажмите на редактировать в List of known certificates. Измените доступ, чтобы разрешить или удалить сайты здесь.

Ответ 4

В Eset нет необходимости отключать "Включить проверку HTTPS". В защите веб-доступа нажмите "Управление URL" > "Редактировать" в списке адресов, затем добавьте список разрешенных адресов