Приветствую. На Firefox48.0.1 появилась странная проблема. Её нет больше нигде на данной версии FF, ни в Debian, ни в Ubuntu, ни в Windows. При попытке соединения с некоторыми сайтами с самоподписанным сертификатом выдает ошибку: Secure Connection Failed An error occurred during a connection to xxx.xxx.ru. A PKCS #11 module returned CKR_DEVICE_ERROR, indicating that a problem has occurred with the token or slot. Error code: SEC_ERROR_PKCS11_DEVICE_ERROR The page you are trying to view cannot be shown because the authenticity of the received data could not be verified. Please contact the website owners to inform them of this problem. У всех пользователей, кто использует P8 и FF48 из него, такая ошибка. Гугл молчит. Еще недавно на этом же FF было невозможно открыть сайты гугла, такая ошибка была у многих в сети, потом сама собой пропала каким-то образом. Что это может быть, почему это проявляется только у нас?
На Sisyphus.
У меня не воспроизводится. Надо проверять, нет ли каких pkcs11-плагинов.
Стоят pam_pkcs11-0.6.8-alt1.git20140828 libpkcs11-helper-1.12.0-alt2.git20140427 Вот тут у нас можно проверить, не открывается эта страница: https://api.telecom13.ru/v2/user_auth
https://api.telecom13.ru/v2/user_auth не открывается - Sisyphus, firefox-48.0.2-alt1 Из pkcs в системе только libpkcs11-helper-1.12.0-alt2.git20140427 Сообщение выглядит так: Secure Connection Failed An error occurred during a connection to api.telecom13.ru. A PKCS #11 module returned CKR_DEVICE_ERROR, indicating that a problem has occurred with the token or slot. Error code: SEC_ERROR_PKCS11_DEVICE_ERROR The page you are trying to view cannot be shown because the authenticity of the received data could not be verified. Please contact the website owners to inform them of this problem.
Я всё ещё разбираюсь, но сломано не только у нас. Fedora также не хочет идти на этот сайт с SSL3.
В Ubuntu действительно работает, но: ``` firefox 48.0+build2-0ubuntu0.16.04.1 $ dpkg -l | grep nss3 ii libnss3:amd64 2:3.23-0ubuntu0.16.04.1 amd64 Network Security Service libraries ii libnss3-1d:amd64 2:3.23-0ubuntu0.16.04.1 amd64 Network Security Service libraries - transitional package ii libnss3-nssdb 2:3.23-0ubuntu0.16.04.1 all Network Security Security libraries - shared databases ``` У них старый nss.
Не удалось найти, в чем дело?
Вышла новая версия firefox и теперь она тоже сломана. http://releases.mozilla.org/pub/firefox/releases/49.0/linux-x86_64/ru/firefox-49.0.tar.bz2
(In reply to comment #8) > Вышла новая версия firefox и теперь она тоже сломана. > > http://releases.mozilla.org/pub/firefox/releases/49.0/linux-x86_64/ru/firefox-49.0.tar.bz2 Сломана у нас с новым nss или у всех с любым nss?
(In reply to comment #9) > Сломана у нас с новым nss или у всех с любым nss? Проблема в NSS. Это апстримная проблема. По результатам моего расследования складывается впечатление, что на каких-то сайтах (вероятно, только на сайтах с слабым SSL [0]) включается FIPS, хотя его нет на машине. Всё, что использует NSS определённым образом будет сломано т.е. оно уже сломалось у нас, в Fedora и думаю скоро сломается в Debian/Ubuntu. В Fedora сейчас также сломан curl т.к. он тоже использует NSS. [0] https://www.ssllabs.com/ssltest/analyze.html?d=api.telecom13.ru
Приветствую. Мы перенесли SSL на nginx и там оно заработало в FF почему-то. Но проблема остается, теперь URL такой, там оставили старое: https://api.telecom13.ru:8443/v2/user_auth Просьба в апстримном баге тоже комментарий добавить.
https://bugzilla.redhat.com/show_bug.cgi?id=1377646#c19 I've checked the first 2 connections in the packet dump, in both cases the signature created by server is invalid - the hashes don't match the data exchanged. So it's the server that is buggy, not the client.