Bug 32460

Summary: firefox-48.0.1-alt1 не открывает google.com с ошибкой NS_ERROR_NET_INADEQUATE_SECURITY
Product: Branch p8 Reporter: Vitaly Lipatov <lav>
Component: firefoxAssignee: Alexey Gladkov <legion>
Status: CLOSED FIXED QA Contact: qa-p8 <qa-p8>
Severity: normal    
Priority: P3 CC: kondratyuk, mike
Version: не указана   
Hardware: all   
OS: Linux   

Description Vitaly Lipatov 2016-08-31 22:42:27 MSK 
После обновления до firefox-48.0.1-alt1 

сайты
https://www.google.ru/
https://facebook.com/
и некоторые другие

не открываются с сообщением
Веб-сайт попытался установить недостаточно защищённое соединение.

www.google.fr использует защитную технологию, которая является устаревшей и уязвимой для атаки. Злоумышленник может легко выявить информацию, которая, как вы думали, находится в безопасности. Для того, чтобы вы смогли посетить веб-сайт, администратор веб-сайта должен сначала исправить его сервер.

Код ошибки: NS_ERROR_NET_INADEQUATE_SECURITY

Подобное обсуждение:
https://bbs.archlinux.org/viewtopic.php?id=216509
Comment 1 Konstantin Kondratyuk 2016-08-31 22:44:53 MSK 
> Подобное обсуждение:
> https://bbs.archlinux.org/viewtopic.php?id=216509

Оно, кстати, тоже не открывается в новом firefox.
Comment 2 Vitaly Lipatov 2016-08-31 23:20:19 MSK 
Бага в Debian:
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=833719

Уточнение здесь:
https://bugzilla.mozilla.org/show_bug.cgi?id=1122642


Short version: Browsers which use HTTP/2 had a brief moment of unhappiness when an unexpected side-effect of a security update caused Confusion and Delay.

Tech-weenie details: I adjusted the TLS cipher suite selection to mitigate the sweet32 attack, and managed to change the priority of cipher selection such that some ciphers blacklisted in HTTP/2 were chosen above other, HTTP/2-friendly ciphers. At first, this only impacted recent Firefox versions, but because no two implementations can ever agree on what a standard actually means, my first attempt at fixing the problem caused problems for IE and Safari instead.

All is well now, and unless some cryptographer comes up with another way to break TLS in the next little while, things should stay well.
https://bbs.boingboing.net/t/desktop-and-mobile-firefox-throwing-a-certificate-error-on-the-bbs/84322/12
Comment 3 Alexey Gladkov 2016-08-31 23:32:51 MSK 
Эм ... я сижу на 48.0.1-alt1. Ничего подобного не вижу (я не выложил бы firefox с такой багой). У меня открывается google.fr, google.ru, google.cz, facebook.com, youtube.com, bbs.archlinux.org.

$ rpmquery -a |grep -e firefox-4 -e libnss-3
libnss-3.26.0-alt1
firefox-48.0.1-alt1
Comment 4 Alexey Gladkov 2016-08-31 23:34:56 MSK 
Ок. Попробую приложить https://bug1122642.bmoattachments.org/attachment.cgi?id=8741098
Comment 5 Konstantin Kondratyuk 2016-09-01 10:05:18 MSK 
С утренним dist-upgrade пришло обновление libnss для p8. Проблемы больше нет.
Comment 6 Vitaly Lipatov 2016-09-01 12:27:17 MSK 
Это была временная проблема на p8 из-за отставшего libnss, нужно обновление до nss-3.26.0-alt1
https://lists.altlinux.org/pipermail/community/2016-August/685989.html
Comment 7 Vitaly Lipatov 2018-03-03 21:59:48 MSK 
После обновления до firefox-58.0.2-alt0.M80P.1 опять та же проблема.
Выяснилось, что в системе libnss-3.30.0-alt0.M80P.1, а последний — libnss-3.34.1-alt0.M80P.1. После обновление libnss проблема ушла.

Вывод: У firefox слишком тесная связь с libnss, чтобы не иметь зависимости на версию не ниже обязательной.