Seit FF 68.0.2 kein Zugriff auf Windows-Zertifikatsstore

Hallo Gemeinde,

ich habe mal wieder ein Problem, und zwar nutzen wir für unser Intranet Zertifikate unserer eigenen CA. Da sich im Firefox eigenen Zertifikate nicht wie CMD oder ähnlichen einfügen lassen, mir zumindest nicht bekannt, haben wir Firefox einfach auf den Windows-Zertifikatsspeicher zugreifen lassen in dem wir unter C:\Program Files\Mozilla Firefox\defaults\pref eine Datei (trustwincerts.js) mit dem Inhalt

/* Allows Firefox reading Windows certificates */
pref("security.enterprise_roots.enabled", true);

eingefügt. Und sie macht wass Sie soll, auch wenn es wohl ohne hin bereits Standard sein soll, aber sicher ist sicher

Dies hat auch super funktioniert, bis das Update auf Firefox 68.0.2 kam, seitdem, scheint Firefox dies zu ignorieren und bringt den Fehler Fehlercode: SEC_ERROR_BAD_SIGNATURE und bei diesem Fehler, kann man ja nicht einfach das ganze Dauerhaft akzeptieren. Ich habe eben das Update auf die Version 69.0 durchgeführt, was aber leider auch keinen Erfolg brachte.

Die Zertifikate sind nicht das Problem, da es mit IE, EDGE, und Chrome geht, doch die meisten hier nutzen eben Firefox.

Seltsam ist eben nur dabei, dass Firefox nicht sagen kann wer es ausgestellt hat, im IE z.B. steht es jedoch da, dass es von unserer CA kommt

Hat zufällig wer das gleiche Problem und ggf. schon eine Lösung?

Wir nutzen unteranderem Zenworks, daher ist es kein Problem irgendwelche Dateien auszutauschen, Registryeinträge zu ändern, oder oder. Lediglich in den GPO´s sind wir eingeschränkt, da wir kein AD haben, wir nutzen eDirectory.

Danke schonmal für eure Ideen

Hallo,

also meine Zertifikatskette passt, das war ja das Problem in dem oberen Artikel von dir. Zwar ist mein Root-CA auch SHA1withRSA und das der Website SHA256withe RSA, aber das der Website weis in der Kette, das es von der Root-CA mit SHA1 beglaubigt wurde. Und weder die Root-CA, noch das Webserverzertifikat wurden in irgendeinerweise verändert und beide sind gültig (beide bis 04.02.2036)

Allerdings habe ich auch gesehen, dass der keystore (Javabassiert auf Linuxsystem) nicht mit PKCS12 arbeitet, allerdings weis ich jetzt nicht, ob ich den einfach umstellen kann, oder ob mein Webdienst (MicroFocus Vibe4.0.6) damit Probleme hat, dass müsste ich erst in Erfahrung bringen.

Das Problem ist erst mit dem Update auf FF 68.0.2 aufgetretten, der FF68.0 hat definitiv noch funktioniert, da habe ich noch vereinzelt Rechner hier, erst mit dem Update auf 68.0.2 tritt der Fehler auf und auch das Update auf 69.0 ändert daran nichts

Leider kann Mozzregression nichts finden, da es zu wenig Daten hat

Wobei auch hier ältere Versionen den Fehler gebracht haben, was mich etwas wundert, jedoch weis ich auch nicht, was genau da getestet wird, bei den grünenn, kamm ich immer auf die Seite, wo ich es als Dauerausnahme hinzufügen konnte.

Es muss aber irgendetwas mit dem Akzeptieren der Zertifikate zu tun haben, was sich entweder bei FF 68.0.1 oder eben bei FF 68.0.2 geändert hat, in den Changelogs, kann ich jedoch nichts finden, oder ich übersehe es immer.

sicher

Pushlog_URL

Hallo,

ich habe jetztnochmal alles zerpflückt und die Zertifikate komplett auf Unterschiede kontrolliert, nach dem auch das Update auf FF 69.0 keine Abhilfe brachte.

Und was soll ich sagen, ich habe einen Unterschied gefunden, jedoch glaube ich fast nicht, dass es so einen Unterschied macht.

Achso, ich habe einen anderen Server mit Weboberfläche gefunden, welcher sein Zertifikat auch von unserer Root-CA hat, welcher im FF läuft.

Und zwar ist der Unterschied beim Antragsteller, hier ist das "O" anders

Links das vom Server welcher nicht im FF läuft, rechts das vom Server welcher im FF läuft

Der Aussteller ist aber wieder identisch

Kann es sein, dass FF in diese Richtung gegangen ist und auch dies abgleicht?