Firefox 在 36.0.1 之后停止与我们的应用兼容

Firefox 在 36.0.1 之后停止与我们的应用兼容

我们有一个适用于所有浏览器和 36.0.1 之前的 Firefox 的 Web 应用程序

已经完成了所有典型的事情,清除缓存,重新安装 ff 等。还测试了不同位置的多台不同的机器。

我们的证书是最新的,但此站点目前仅支持 TLS 1.0 版,这是一个传统数据中心,大多数人都在使用新平台,它在那里可以正常工作……它有 TLS 1.1 和 1.2,但似乎仍然应该正常工作?它允许安全连接到第一个页面,然后当您从那里执行应用程序时,会返回“安全连接重置”。我也可以看到来自我们系统的第一个 pkt,但没有其他信息。与以前一样,它可以与最新版本之前的所有其他浏览器和 Firefox 一起使用。

SSLLabs 的报告:

Prefix handling            Both (with and without WWW) 
Valid from                 Mon Jun 04 17:00:00 PDT 2012 
Valid until                Wed Aug 05 05:00:00 PDT 2015 (expires in 4 months and 16 days) 
Key                        RSA 2048 bits (e 65537) 
Weak key (Debian)          No 
Issuer                     DigiCert High Assurance CA-3 
Signature algorithm        SHA1withRSA WEAK
Extended Validation        No 
Revocation information     CRL, OCSP 
Revocation status          Good (not revoked) 
Trusted                    Yes

Additional Certificates (if supplied) 
Certificates provided      3 (4322 bytes)
Chain issues               Contains anchor

#2
Subject                    DigiCert High Assurance CA-3 
Fingerprint:               a2e32a1a2e9fab6ead6b05f64ea0641339e10011 
Valid until                Sat Apr 02 17:00:00 PDT 2022 (expires in 7 years)
Key                        RSA 2048 bits (e 65537) 
Issuer                     DigiCert High Assurance EV Root CA 
Signature algorithm        SHA1withRSA WEAK

#3
Subject                    DigiCert High Assurance EV Root CA In trust store Fingerprint: 5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25 
Valid until                Sun Nov 09 16:00:00 PST 2031 (expires in 16 years and 7 months)
Key                        RSA 2048 bits (e 65537) 
Issuer                     DigiCert High Assurance EV Root CA Self-signed 
Signature algorithm        SHA1withRSA Weak, but no impact on root certificate

Certification Paths
(path# not provided)
#1 Sent by server          (not provided)
.                          Fingerprint: 8391780451d5684847681c413f81d5689a669ddd
.                          RSA 2048 bits (e 65537) / SHA1withRSA WEAK SIGNATURE

#2 Sent by server          DigiCert High Assurance CA-3
.                          Fingerprint: a2e32a1a2e9fab6ead6b05f64ea0641339e10011
.                          RSA 2048 bits (e 65537) / SHA1withRSA WEAK SIGNATURE

#3 Sent by server          DigiCert High Assurance EV Root CA Self-signed
.  In trust store          Fingerprint: 5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25
.                          RSA 2048 bits (e 65537) / SHA1withRSA
.                          Weak or insecure signature, but no impact on root certificate Configuration

Protocols 
TLS 1.2     No 
TLS 1.1     No 
TLS 1.0     Yes 
SSL 3       No 
SSL 2       No

Cipher Suites (SSL 3+ suites in server-preferred order; deprecated and SSL 2 suites always at the end)
TLS_RSA_WITH_RC4_128_MD5 (0x4) WEAK     128 
TLS_RSA_WITH_RC4_128_SHA (0x5) WEAK     128 
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)     112 
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)     128 
TLS_RSA_WITH_AES_256_CBC_SHA (0x35)     256

答案1

虽然我不是专家,但我最近配置了一个域名以在 SSLLabs 上获得 A+ 评级,所以我一直在努力。

你有两个 RC4 套件,分别是已禁用作为 Firefox 36+ 的后备方案。默认密码套件对于 FF36 来说:

C02B  TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256    N/A: AES+GCM Not in TLS1.0
C02F  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256      N/A: AES+GCM Not in TLS1.0
C00A  TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA       * N/A: DSA and ECC
C009  TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA       * N/A: DSA and ECC
C013  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA         * N/A:?+FS +ECC
C014  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA         * N/A:?+FS +ECC
0033  TLS_DHE_RSA_WITH_AES_128_CBC_SHA       * +FS RFC3268:extends TLS1.0
0032  TLS_DHE_DSS_WITH_AES_128_CBC_SHA            Removed in FF37
0039  TLS_DHE_RSA_WITH_AES_256_CBC_SHA       * +FS RFC3268:extends TLS1.0
002F  TLS_RSA_WITH_AES_128_CBC_SHA                4th choice above (no FS)
0035  TLS_RSA_WITH_AES_256_CBC_SHA                5th choice above (no FS)
000A  TLS_RSA_WITH_3DES_EDE_CBC_SHA               3rd choice above (actually 112 bits)

(*)这些都增加了前向保密性。我不认为 Digicert 在您使用的链中包含 ECC(他们的锁链),但可以请求。联系方式在此DigiCert ECC 信息页面

现在,我认为您应该删除 RC4,添加套件 0033 和 0039,并更改服务器显示它们的顺序,以便它们与 Firefox 的请求相匹配。我愿意接受纠正。

笔记:

  • 密码套件列表及其含义
  • FF 暂时出现问题第二次尝试时返回 RC4但可能不会影响你。
  • SHA1 已被弃用,CBC 密码可能容易受到攻击Lucky13侧信道定时攻击(作者:Nadhem AlFardan 和 Kenny Paterson)以及兄弟脚本检测攻击(github 上的 Liam Randall)。
  • 截至 2015 年 3 月 19 日,SSLLabs 仅测试Firefox 35
  • 其他供应商免费提供 ECC 和 DSA;不链接到供应商,因为我认为这是不受欢迎的。

相关内容