我们的 Exchange Web 访问由 SSL 证书保护。当我尝试在 FireFox(v2 和 v3.5)中访问 Web 访问时,我收到:
Secure Connection Failed
An error occurred during a connection to www.example.net.au.
Peer's Certificate has been revoked.
(Error code: sec_error_revoked_certificate)
当我在 IE 中查看该网站时,它加载正常,没有任何错误或警告。当我查看证书时,我看到它直到 2010 年才到期,并且认证路径回到 thawte。
我以前在 IE 中看到过证书被吊销的情况,它通常会直接拒绝访问该网站。为什么 FireFox 对此很在意,而 IE 却没有检测到任何错误?
(请不要对浏览器的选择产生争论)
答案1
访问该网站,查看证书属性,看看其中是否包含 CA 发布其证书吊销列表的 URL。检索该列表,看看证书是否已列出。
你运行的是哪个版本的 IE?在旧版本中,CRL 未检查,我忘记了 Microsoft 在哪个版本中添加了 CRL 支持。我认为你可以在 IE 中禁用 CRL 检查,这让我怀疑你的系统上是否禁用了 CRL 检查。
答案2
控制证书验证的机制有两种。CRL 是一种方式,但 OCSP 通常更方便,因为它可以实时使用。Firefox 出现问题的一个可能原因是它已配置为拒绝无法确认为未撤销的证书(而 IE 没有那么严格)。
我建议您在 SSL Labs 网站上检查您的证书——https://www.ssllabs.com/ssldb/。它应该会为您提供有关证书状态的更多信息(除了对您的 SSL 服务器进行详细的安全评估之外)。如果这没有帮助,请随时私下写信给我(我经营 SSL 实验室,因此您可以在联系页面上找到我的联系方式),我会帮助您解决此问题。
答案3
嗯,“证书被吊销”意味着它位于某个证书吊销列表 (CRL) 中。也许 FF 和 IE 使用不同的列表?
在 Firefox 中,撤销列表是在“首选项/高级/加密/撤销列表”下配置的。不幸的是,我手边没有 IE,但我相信 CRL 是在“安全”下的某个地方配置的。
在我的标准 FF 安装中,没有配置撤销列表,所以也许您有一个定制安装?
答案4
我发现了这个问题。我不知道为什么证书已被吊销,但已添加到我们的本地 CA 并设置为受信任。FireFox 一定没有引用我们的本地 CA 来获取证书,但 IE 却引用了。