Ssl

FireFox 檢測到吊銷證書,IE 不檢測

  • August 15, 2009

我們的交換網路訪問由 SSL 證書保護。當我嘗試訪問 FireFox(v2 和 v3.5)中的 Web 訪問時,我得到:

Secure Connection Failed       

An error occurred during a connection to www.example.net.au.

Peer's Certificate has been revoked.

(Error code: sec_error_revoked_certificate)

當我在 IE 中查看該站點時,它載入得很好,沒有任何錯誤或警告。當我查看證書時,我發現它直到 2010 年才過期,並且證書路徑又回到了 thawte。

我以前在 IE 中看到過撤銷的證書,它通常完全拒絕訪問該站點。什麼可能導致 FireFox 出現疝氣,但 IE 沒有檢測到任何錯誤?

(請不要對瀏覽器的選擇發火)

轉到該站點,查看證書屬性,看看它是否包含 CA 公開其證書吊銷列表的 URL。檢索該列表並查看是否列出了證書。

你執行的是什麼版本的IE?在未檢查的舊版本 CRL 中,我忘記了 Microsoft 在哪個版本中添加了 CRL 支持。我認為您可以在 IE 中禁用 CRL 檢查,這讓我想知道您的系統上是否禁用了 CRL 檢查。

有兩種控制證書驗證的機制。CRL 是一種方式,但 OCSP 通常更方便,因為它可以實時使用。對您的 Firefox 問題的一種可能解釋是,它已被配置為拒絕無法確認為未撤銷的證書(而 IE 沒有那麼嚴格)。

我建議您在 SSL Labs 網站上檢查您的證書 - https://www.ssllabs.com/ssldb/。它應該為您提供有關您的證書狀態的更多資訊(除了對您的 SSL 伺服器執行詳細的安全評估)。如果這沒有幫助,請隨時私下給我寫信(我經營 SSL Labs,因此您可以在聯繫頁面上找到我的聯繫方式),我會幫助您解決問題。

引用自:https://serverfault.com/questions/53984