Мы начали сталкиваться с проблемами при просмотре большинства сайтов https.
Примеры включают в себя: https://technet.microsoft.com/, https://mail.google.com/, https://www.mozilla.org/en-US/firefox/new/, /qaru.site/...
Похоже, что безопасные сайты, которые мы посетили ранее, работают нормально. Примеры включают: https://banking.westpac.com.au/, https://www.tppwholesale.com.au/login/, https://au.ingrammicro.com/
Ошибки, которые мы получаем:
- Chrome:
ERR_BAD_SSL_CLIENT_AUTH_CERT
- Firefox:
SSL_ERROR_ACCESS_DENIED_ALERT
- IE11/Edge: нет полезного сообщения, но в Schannel 36887 регистрируются ошибки, сообщающие
The TLS protocol defined fatal alert code is 49.
(Они также регистрируются для Chrome, но не для Firefox, поскольку он использует библиотеку шифрования Mozilla NSS.)
Мы можем предотвратить проблему, отключив TLS1.1 и TLS1.2 и включив SSL2 и SSL3. Поскольку у SSL2/3 есть известные уязвимости, мы хотим решить эту проблему должным образом.
Проблема наблюдалась на машинах Win7, Win8.1, Win10 WS2012R2. Это касается всех наших ноутбуков, за исключением одного, который не был в офисе более месяца.
Широкое прибегание к гуглу не принесло ничего полезного - большинство обсуждаемых проблем с SSL-соединениями, похоже, сосредоточены на сертификате сервера.
Вышеуказанные ошибки указывают на то, что это проблема с сертификатом клиента, который наши браузеры отправляют на серверы, поэтому у меня есть следующие вопросы:
- У SSL2/3 есть другие требования сертификата клиента к TLS1.x?
- Какой сертификат клиента используют браузеры (у нас нет сертификатов, перечисленных в личных или пользовательских хранилищах компьютеров)?
Я надеюсь, что есть гуру SSL/TLS, который может помочь!