Вопрос или проблема
С момента установки Firefox 33 ошибка “Secure Connection Failed” больше не обходится с помощью кнопки “I Understand the Risks” — её больше нет!
Можно ли всё ещё как-то игнорировать ошибки сертификата? (например, для использования в локальных окружениях)
Код ошибки: sec_error_invalid_key
Откройте about:config в Firefox
Установите security.tls.insecure_fallback_hosts = www.domain.com (замените на домен, с которым у вас проблема)
Перезагрузите страницу
Эта проблема была докладына в их форуме поддержки.
Причина в том, что Firefox 33 полностью перешёл на более строгую libPKIX, и теперь вы не можете отключить эту библиотеку и вернуться к предыдущему коду NSS.
См. соответствующий блог Mozilla пост и ошибку:
Ошибка 975229 – Удаление проверки сертификатов на основе NSS
Похоже, что они не изменят это поведение.
Если ваша проблема схожа с моей на сайте webmin, попробуйте заново создать сертификат в webmin. Это помогло мне вернуть “make security exception” в FF 33.0!
У меня была такая же проблема с Webmin и Firefox 33. Когда я посмотрел на SSL-сертификат, которым пользовался Webmin, я обнаружил, что он использует ключ 512 бит! Это, должно быть, был размер ключа по умолчанию, когда я установил Webmin пару лет назад.
Firefox 33 больше не поддерживает ключи меньше 1024 бит (и на то есть веские причины). См. совместимость сайта
Вы можете исправить это прямо в Webmin, если используете другой браузер, который позволяет обойти этот тип ошибки, или временно отключите SSL в webmin, установив ssl=0 в /etc/webmin/miniserv.conf и перезапустив Webmin с помощью “/etc/init.d/webmin restart”. Просто войдите в веб-интерфейс Webmin и выберите: Webmin -> Webmin Configuration -> SSL Encryption -> Self Signed Certificate. Заполните форму (или оставьте значения по умолчанию) и нажмите Create Now. Если вы временно отключили SSL, включите его с помощью ssl=1 в /etc/webmin/miniserv.conf и перезапустите webmin с помощью “/etc/init.d/webmin restart”. Это обновит ваш самоподписанный сертификат для Webmin, и теперь вы сможете получить доступ к странице из Firefox 33 (с обычным предупреждением браузера о ненадежном соединении).
Попробовал предложение от @wisbucky, но потребовалась перезагрузка браузера для обхода ошибки “Secure Connection Failed”.
Последовательность действий была следующей –
Откройте конфигурацию Firefox, введя следующее в адресной строке –
about:config
Найдите security.tls.insecure_fallback_hosts и установите его на
security.tls.insecure_fallback_hosts = имя хоста сайта, вызывающего ошибку
Для сообщений о слабом ключе DH попробуйте переключить следующие настройки (в about:config Firefox):
- security.ssl3.dhe_rsa_aes_128_sha
- security.ssl3.dhe_rsa_aes_256_sha
Это решило ошибку “Secure Connection Failed”, которую я наблюдал:
SSL получил слабый эфемерный ключ Диффи-Хеллмана в сообщении серверного обмена ключами. (Код ошибки: ssl_error_weak_server_ephemeral_dh_key)
Ещё одно потенциальное исправление, которое стоит отметить: в вашем about:config ваш пользовательский профиль может содержать некоторые настройки, которые были повреждены.
Одно из них, что было отмечено здесь: security.tls.version.max
В частности, обсуждение на указанном сайте указывает на то, что как-то настройка security.tls.version.max была изменена с её первоначального значения (3) на новое значение 1, и после этого изменения пользователь не смог подключиться к определённым сайтам, которые нуждались в более новом уровне безопасности транспортного уровня.
Один из простых способов проверить, происходит ли это, не меняя сначала ваши about:config, — это попытаться создать свежий профиль, запустив firefox -P и затем создать новый профиль и посмотреть, сможете ли вы успешно посетить сайт.
Начальный самоподписанный ssl ключ webmin составляет 512 байт
Решения: используйте Chrome или Firefox, войдите в webmin, в конфигурации webmin ->SSL Encryption->Self-Signed Certificate
создайте новый SSL ключ и сертификат для вашего сервера Webmin, RSA ключ выберите по умолчанию (2048), и убедитесь, что ‘Use new key immediately’
тогда вы можете использовать IE для доступа к Webmin
Ошибка не такая, как у автора, но SSL_ERROR_NO_CYPHER_OVERLAP привела меня сюда.
Установка security.tls.version.enable-deprecated в true позволила мне подключиться в about:config.
Конечно, обход этой ошибки при нормальных обстоятельствах — плохое решение. Тем не менее, у меня есть очень старый принтер, для которого я хочу включить HTTPS. Я использую Firefox только для определённых ситуаций, как эта.
.
Ответ или решение
Вопрос о том, как обойти предупреждение "Secure Connection Failed" в браузере Firefox 33, касается важной темы безопасности соединений в Интернете. С каждым новым обновлением браузеры становятся более строгими в отношении защиты данных пользователей, и Firefox 33 не является исключением. Перейдя на использование более строгой библиотеки libPKIX, Mozilla устранила возможность обойти предупреждения о сертификатах, что затруднило задачу для пользователей, сталкивающихся с ошибками в локальных или тестовых окружениях.
Теория
Протокол HTTPS, обеспечивающий защищенное соединение, предусматривает использование SSL-сертификатов, которые подтверждают подлинность веб-сайта. Если браузер обнаруживает некорректность сертификата (например, неверный домен, истекший срок или ненадежный алгоритм шифрования), он блокирует доступ к сайту. Это инициатива по обеспечению безопасности, призванная защитить пользователей от атак "человек в середине" и утечки данных.
Пример
Ошибка "sec_error_invalid_key" указывает на проблему с ключом сертификата. Например, ранее использовавшиеся 512-битные ключи теперь считаются ненадежными и не поддерживаются Firefox 33, который требует, как минимум, 1024-битные RSA-ключи. В то же время, если на сервере используется слишком слабый эпхемерный ключ Диффи-Хеллмана, появится ошибка "ssl_error_weak_server_ephemeral_dh_key".
Применение
Хотя обход ошибок сертификатов является потенциально рискованным шагом, иногда это необходимо, особенно в локальной разработке или при использовании устаревшего оборудования. Рассмотрим несколько методов, которые могут помочь обойти предупреждение "Secure Connection Failed" в Firefox 33.
1. Обновление конфигурации Webmin
Если проблема возникает в среде Webmin, первым шагом будет создание нового ключа и сертификата. Используя другой браузер, который позволяет временное отключение SSL, войдите в Webmin и создайте новый самоподписанный сертификат. Выберите RSA-ключ потретей длины (например, 2048 бит).
2. Редактирование about:config в Firefox
-
Откройте
about:configи измените параметры:security.tls.insecure_fallback_hosts: добавьте домен, с которым возникают проблемы.security.tls.version.max: проверьте, чтобы значение было установлено на 3. Если его изменили на 1, сайты с более новой версией TLS могут не работать.
-
Для слабых ключей Диффи-Хеллмана:
- Отключите параметры
security.ssl3.dhe_rsa_aes_128_shaиsecurity.ssl3.dhe_rsa_aes_256_sha, если они включены.
- Отключите параметры
-
В некоторых случаях установите
security.tls.version.enable-deprecatedвtrue, если необходимо подключаться к старым серверам с устаревшими протоколами.
Эти изменения подойдут для временного или локального использования и не рекомендуется их применять для публичных веб-сайтов, поскольку они снижают общую безопасность соединения.
3. Используйте другой профиль Firefox
Если существует вероятность, что проблемы вызваны поврежденными настройками профиля, создайте новый профиль:
- Запустите Firefox с параметром
-Pи создайте новый профиль для тестирования.
Заключение
Проблема с сертификатами является критической для обеспечения безопасности, и манипуляции с параметрами безопасности должны осуществляться с пониманием всех рисков. Постоянное использование устаревших или несовместимых методик может привести к уязвимости системы, поэтому данные подходы следует применять только в строго контролируемых условиях, таких как локальные разработки или тесты. В стратегическом плане стоит обновить серверную инфраструктуру и программное обеспечение для гарантированного соблюдения современных стандартов защиты данных.