Firefox 36.0.1'den sonra uygulamamızla çalışmayı durdurdu

36.0.1'den önce tüm tarayıcılarda ve firefox'ta çalışan bir web uygulamamız var.

Tüm tipik şeyleri yaptım, önbelleği temizledim, ff'yi tekrar yükledim, vb. Farklı konumlardan çok sayıda farklı makine de test edildi.

Bizim hizmetlerimiz güncel ama bu site şu an sadece 1.0 sürüm tls, çoğu insan yeni bir platformda bulunan eski bir veri merkezi ve orada çalışıyor. İlk sayfaya güvenli bir bağlantı sağlar ve daha sonra uygulamayı oradan çalıştırdığınızda "güvenli bağlantı sıfırlama" ile geri gelir. İlk pkt'nin sistemlerimizden geldiğini ancak başka hiçbir şey söylemediğini görebiliyorum. Daha önce olduğu gibi, en son sürümden önce diğer tüm tarayıcılarda ve firefox'ta çalışır.

SSLLabs’tan gelen rapor:

Prefix handling            Both (with and without WWW) 
Valid from                 Mon Jun 04 17:00:00 PDT 2012 
Valid until                Wed Aug 05 05:00:00 PDT 2015 (expires in 4 months and 16 days) 
Key                        RSA 2048 bits (e 65537) 
Weak key (Debian)          No 
Issuer                     DigiCert High Assurance CA-3 
Signature algorithm        SHA1withRSA WEAK
Extended Validation        No 
Revocation information     CRL, OCSP 
Revocation status          Good (not revoked) 
Trusted                    Yes

Additional Certificates (if supplied) 
Certificates provided      3 (4322 bytes)
Chain issues               Contains anchor

#2
Subject                    DigiCert High Assurance CA-3 
Fingerprint:               a2e32a1a2e9fab6ead6b05f64ea0641339e10011 
Valid until                Sat Apr 02 17:00:00 PDT 2022 (expires in 7 years)
Key                        RSA 2048 bits (e 65537) 
Issuer                     DigiCert High Assurance EV Root CA 
Signature algorithm        SHA1withRSA WEAK

#3
Subject                    DigiCert High Assurance EV Root CA In trust store Fingerprint: 5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25 
Valid until                Sun Nov 09 16:00:00 PST 2031 (expires in 16 years and 7 months)
Key                        RSA 2048 bits (e 65537) 
Issuer                     DigiCert High Assurance EV Root CA Self-signed 
Signature algorithm        SHA1withRSA Weak, but no impact on root certificate

Certification Paths
(path# not provided)
#1 Sent by server          (not provided)
.                          Fingerprint: 8391780451d5684847681c413f81d5689a669ddd
.                          RSA 2048 bits (e 65537) / SHA1withRSA WEAK SIGNATURE

#2 Sent by server          DigiCert High Assurance CA-3
.                          Fingerprint: a2e32a1a2e9fab6ead6b05f64ea0641339e10011
.                          RSA 2048 bits (e 65537) / SHA1withRSA WEAK SIGNATURE

#3 Sent by server          DigiCert High Assurance EV Root CA Self-signed
.  In trust store          Fingerprint: 5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25
.                          RSA 2048 bits (e 65537) / SHA1withRSA
.                          Weak or insecure signature, but no impact on root certificate Configuration

Protocols 
TLS 1.2     No 
TLS 1.1     No 
TLS 1.0     Yes 
SSL 3       No 
SSL 2       No

Cipher Suites (SSL 3+ suites in server-preferred order; deprecated and SSL 2 suites always at the end)
TLS_RSA_WITH_RC4_128_MD5 (0x4) WEAK     128 
TLS_RSA_WITH_RC4_128_SHA (0x5) WEAK     128 
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)     112 
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)     128 
TLS_RSA_WITH_AES_256_CBC_SHA (0x35)     256

Aldığınız hatanın detayı yok muydu? Her neyse, Firefox 37, SSL / TLS ile ilgili 2 değişiklik yaptı : "Site güvenliği için güvensiz TLS sürümünün devre dışı bırakılması" ve "DSA desteğini kaldırarak Geliştirilmiş sertifika ve TLS iletişim güvenliği". HTTPS sitelerimden biri 37'ye yükselttikten sonra da çalışmayı durdurdu, ancak birkaç gün (ve bazı ayarlarla deneme yaparak) daha sonra tekrar çalıştı (her ayar önceki gibi yapıldı.

— David Balažic

Uzman olmasam da, son zamanlarda SSLLabs'da A + derecesi almak için bir etki alanı yapılandırdım, bu yüzden üzerinde çalışıyorum.

Burada, Firefox 36+ sürümünden geri dönüş olarak devre dışı bırakılan iki RC4 süitiniz var. Varsayılan şifre setleri FF36 içindir:

C02B  TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256    N/A: AES+GCM Not in TLS1.0
C02F  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256      N/A: AES+GCM Not in TLS1.0
C00A  TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA       * N/A: DSA and ECC
C009  TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA       * N/A: DSA and ECC
C013  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA         * N/A:?+FS +ECC
C014  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA         * N/A:?+FS +ECC
0033  TLS_DHE_RSA_WITH_AES_128_CBC_SHA       * +FS RFC3268:extends TLS1.0
0032  TLS_DHE_DSS_WITH_AES_128_CBC_SHA            Removed in FF37
0039  TLS_DHE_RSA_WITH_AES_256_CBC_SHA       * +FS RFC3268:extends TLS1.0
002F  TLS_RSA_WITH_AES_128_CBC_SHA                4th choice above (no FS)
0035  TLS_RSA_WITH_AES_256_CBC_SHA                5th choice above (no FS)
000A  TLS_RSA_WITH_3DES_EDE_CBC_SHA               3rd choice above (actually 112 bits)

(*) Bunların hepsi İleri Gizlilik ekler. Digicert'in kullandığınız zincire ECC dahil olduğunu sanmıyorum ( zincirleri ) ama talep edilebilir. DigiCert ECC bilgi sayfasında bir irtibat var .

Şu anda bana öyle geliyor ki, RC4'lerinizi kaldırmalı, 0033 ve 0039'lu süitleri eklemeli ve sunucunuz tarafından sunulan sıraları değiştirmeli, böylece Firefox'un istediği şekilde eşleşmelidir. Düzeltmeye açığım.

Notlar:

Şifre takımları ve anlamları .
FF’in ikinci denemede RC4’e geri dönmesi geçici olarak yaşandı ancak muhtemelen sizi etkilemiyordu.
SHA1 kaldırılmıştır ve CBC şifrelere potansiyel olarak hassas olan Lucky13 yan kanal zamanlaması atak ( kağıt Nadhem Alfardan Kenny Paterson tarafından) ve kardeş komut saldırıları tespit (github Liam Randall).
2015-03-19 itibariyle, SSLLabs yalnızca Firefox 35'e kadar test ediyor .
Diğer satıcılar ECC ve DSA'yı ücretsiz sağlar; satıcılarla bağlantı kurmuyor çünkü bence kaşlarını çattı.

— ǝɲǝɲbρɯͽ
kaynak