某些客户端在所有浏览器上都会收到“基于证书的身份验证失败”错误

某些客户端在所有浏览器上都会收到“基于证书的身份验证失败”错误

我在多台 Ubuntu / LAMP 服务器上托管多个 SSL 站点。这些服务器的设置相当标准,例如,没有客户端证书配置。绝大多数用户都没有问题,但现在出现了两起特定证书在两台客户端计算机(Vista 和 Windows 7)上出现错误的情况。我已经与 Vista 用户一起调试了这种情况,到目前为止,我得到了以下信息:

  • 问题只发生在特定*.domain.tld证书上。来自同一服务器且设置完全相同的其他非常相似的证书工作正常。来自其他服务器(银行、Gmail 等)的其他证书也工作正常。

  • 到同一服务器IP的http流量运行正常。

  • 该问题至少发生在 Firefox 35、Chrome 40 和 IE(未指定)上。

  • Chrome 出现错误基于证书的身份验证失败

  • Firefox 出现错误ssl_error_access_denied_alert

  • IE 自然会发出一些模糊的“网页无法显示”的提示。

  • 机器正在运行 Windows Defender、Windows 防火墙和某个版本的 F-Secure。尝试禁用所有这些,但没有帮助。

  • 家庭安全未启用。

  • 这似乎不是一个CA链错误。

  • 这似乎不是与无效服务器证书相关的错误。

  • 两台机器的时钟均设置正确

我觉得客户端的机器出了问题。那会是什么?配置错误、恶意软件还是其他什么?

网络转储显示 SSL 握手没有进行太长时间:(这是我在服务器上看到的所有数据包)

网络转储 (该站点在标准端口上提供服务443。此处显示的服务器端口6443映射到443防火墙上的标准端口。)

还有一件事:在服务器日志中,我看到一些来自客户端 IP 的 HTTP(非 HTTPS)请求带有User-Agent: Microsoft Windows Network Diagnostics,还有一个请求没有HostUser-Agent标头。这是在与用户进行电话调试时发生的。用户肯定没有手动发出此请求。

还有一件事:客户端可以使用 HTTP 成功访问相同的站点。

相关内容