Firefox перестав працювати з нашим додатком після 36.0.1

Ми маємо веб-додаток, що працює на всіх браузерах і firefox до 36.0.1

Були виконані всі типові речі, очищення кешу, перевстановлення ff і т.д. Кілька різних машин з різних локацій тестувалися також.

Наші сертифікати є актуальними, але цей сайт наразі є тільки версією 1.0, це традиційний центр даних, який більшість людей знаходяться на новій платформі, і він працює там ... він має tls 1.1 n 1.2, але здається, що він повинен працювати? Це дозволяє безпечне з'єднання з першою сторінкою, а потім, коли ви виконуєте додаток звідти повертається з "безпечним відновленням з'єднання". Я можу побачити rst pkt прибуття з наших систем також але нічого ще розповідаючого. Як і раніше, він працює з усіма іншими браузерами та firefox до останньої версії.

Звіт з SSLLabs:

Prefix handling            Both (with and without WWW) 
Valid from                 Mon Jun 04 17:00:00 PDT 2012 
Valid until                Wed Aug 05 05:00:00 PDT 2015 (expires in 4 months and 16 days) 
Key                        RSA 2048 bits (e 65537) 
Weak key (Debian)          No 
Issuer                     DigiCert High Assurance CA-3 
Signature algorithm        SHA1withRSA WEAK
Extended Validation        No 
Revocation information     CRL, OCSP 
Revocation status          Good (not revoked) 
Trusted                    Yes

Additional Certificates (if supplied) 
Certificates provided      3 (4322 bytes)
Chain issues               Contains anchor

#2
Subject                    DigiCert High Assurance CA-3 
Fingerprint:               a2e32a1a2e9fab6ead6b05f64ea0641339e10011 
Valid until                Sat Apr 02 17:00:00 PDT 2022 (expires in 7 years)
Key                        RSA 2048 bits (e 65537) 
Issuer                     DigiCert High Assurance EV Root CA 
Signature algorithm        SHA1withRSA WEAK

#3
Subject                    DigiCert High Assurance EV Root CA In trust store Fingerprint: 5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25 
Valid until                Sun Nov 09 16:00:00 PST 2031 (expires in 16 years and 7 months)
Key                        RSA 2048 bits (e 65537) 
Issuer                     DigiCert High Assurance EV Root CA Self-signed 
Signature algorithm        SHA1withRSA Weak, but no impact on root certificate

Certification Paths
(path# not provided)
#1 Sent by server          (not provided)
.                          Fingerprint: 8391780451d5684847681c413f81d5689a669ddd
.                          RSA 2048 bits (e 65537) / SHA1withRSA WEAK SIGNATURE

#2 Sent by server          DigiCert High Assurance CA-3
.                          Fingerprint: a2e32a1a2e9fab6ead6b05f64ea0641339e10011
.                          RSA 2048 bits (e 65537) / SHA1withRSA WEAK SIGNATURE

#3 Sent by server          DigiCert High Assurance EV Root CA Self-signed
.  In trust store          Fingerprint: 5fb7ee0633e259dbad0c4c9ae6d38f1a61c7dc25
.                          RSA 2048 bits (e 65537) / SHA1withRSA
.                          Weak or insecure signature, but no impact on root certificate Configuration

Protocols 
TLS 1.2     No 
TLS 1.1     No 
TLS 1.0     Yes 
SSL 3       No 
SSL 2       No

Cipher Suites (SSL 3+ suites in server-preferred order; deprecated and SSL 2 suites always at the end)
TLS_RSA_WITH_RC4_128_MD5 (0x4) WEAK     128 
TLS_RSA_WITH_RC4_128_SHA (0x5) WEAK     128 
TLS_RSA_WITH_3DES_EDE_CBC_SHA (0xa)     112 
TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)     128 
TLS_RSA_WITH_AES_256_CBC_SHA (0x35)     256

Чи не було більше деталей до помилки, яку ви отримали? У всякому разі, Firefox 37 мав 2 зміни пов'язані з SSL / TLS: "Вимкнено резервну версію TLS для безпеки сайту" та "Покращена безпека зв'язку та сертифікатів TLS шляхом видалення підтримки для DSA". Один з моїх HTTPS сайтів також припинив роботу після оновлення до 37, але через кілька днів (і деякі експерименти з налаштуваннями) пізніше знову спрацював (я клянуся, що всі налаштування повернулися, як і раніше).

— David Balažic

Хоча я не експерт, але я нещодавно налаштував домен, щоб отримати рейтинг A + на SSLLabs, тому я працював над ним.

У вас є дві апартаменти RC4, які є вимкнено як резервний з Firefox 36+. The за замовчуванням ciphersuites для FF36:

C02B  TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256    N/A: AES+GCM Not in TLS1.0
C02F  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256      N/A: AES+GCM Not in TLS1.0
C00A  TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA       * N/A: DSA and ECC
C009  TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA       * N/A: DSA and ECC
C013  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA         * N/A:?+FS +ECC
C014  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA         * N/A:?+FS +ECC
0033  TLS_DHE_RSA_WITH_AES_128_CBC_SHA       * +FS RFC3268:extends TLS1.0
0032  TLS_DHE_DSS_WITH_AES_128_CBC_SHA            Removed in FF37
0039  TLS_DHE_RSA_WITH_AES_256_CBC_SHA       * +FS RFC3268:extends TLS1.0
002F  TLS_RSA_WITH_AES_128_CBC_SHA                4th choice above (no FS)
0035  TLS_RSA_WITH_AES_256_CBC_SHA                5th choice above (no FS)
000A  TLS_RSA_WITH_3DES_EDE_CBC_SHA               3rd choice above (actually 112 bits)

(*) Всі вони додають Forward Secrecy. Я не думаю, що Digicert включає в себе ECC в ланцюзі, який ви використовуєте ( їхні ланцюги ), але його можна запросити. Контакт на цьому Інформаційна сторінка ECC DigiCert .

Зараз, як мені здається, ви повинні видалити RC4, додати комплекти 0033 і 0039, і змінити порядок, в якому вони представлені сервером, щоб вони відповідали вимогам Firefox. Я відкрита для корекції.

Примітки:

Перелік наборів шифрів та їх значень .
Тимчасово виникла проблема для FF повертаючись до RC4 з другої спроби але, напевно, не впливає на вас.
SHA1 є застарілим, а шифри CBC потенційно вразливі Lucky13 атака синхронізації бічного каналу ( паперу Nadhem AlFardan і Kenny Paterson) і a брат сценарій для виявлення атак (Liam Randall на github).
Станом на 2015-03-19, SSLLabs тільки тести до Firefox 35 .
Інші постачальники надають ECC та DSA безкоштовно; не пов'язуючи з постачальниками тому, що я думаю це frowned у тут.

— ǝɲǝɲbρɯͽ
джерело