Bug 32487 - Secure Connection Failed
: Secure Connection Failed
Status: CLOSED WONTFIX
: Sisyphus
(All bugs in Sisyphus/firefox)
: unstable
: all Linux
: P3 normal
Assigned To:
:
: https://bugzilla.redhat.com/show_bug....
:
:
:
  Show dependency tree
 
Reported: 2016-09-09 16:26 by
Modified: 2018-03-19 14:11 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2016-09-09 16:26:31
Приветствую.

На Firefox48.0.1 появилась странная проблема. Её нет больше нигде на данной
версии FF, ни в Debian, ни в Ubuntu, ни в Windows.

При попытке соединения с некоторыми сайтами с самоподписанным сертификатом
выдает ошибку:

Secure Connection Failed

An error occurred during a connection to xxx.xxx.ru. A PKCS #11 module returned
CKR_DEVICE_ERROR, indicating that a problem has occurred with the token or
slot. Error code: SEC_ERROR_PKCS11_DEVICE_ERROR

    The page you are trying to view cannot be shown because the authenticity of
the received data could not be verified.
    Please contact the website owners to inform them of this problem.


У всех пользователей, кто использует P8 и FF48 из него, такая ошибка.  Гугл
молчит.


Еще недавно на этом же FF было невозможно открыть сайты гугла, такая ошибка
была у многих в сети, потом сама собой пропала каким-то образом.

Что это может быть, почему это проявляется только у нас?
------- Comment #1 From 2016-09-09 17:57:23 -------
На Sisyphus.
------- Comment #2 From 2016-09-09 18:06:20 -------
У меня не воспроизводится. Надо проверять, нет ли каких pkcs11-плагинов.
------- Comment #3 From 2016-09-10 01:10:02 -------
Стоят pam_pkcs11-0.6.8-alt1.git20140828
libpkcs11-helper-1.12.0-alt2.git20140427

Вот тут у нас можно проверить, не открывается эта страница:
https://api.telecom13.ru/v2/user_auth
------- Comment #4 From 2016-09-10 10:55:01 -------
https://api.telecom13.ru/v2/user_auth не открывается - Sisyphus,
firefox-48.0.2-alt1 

Из pkcs в системе только libpkcs11-helper-1.12.0-alt2.git20140427

Сообщение выглядит так:
Secure Connection Failed

An error occurred during a connection to api.telecom13.ru. A PKCS #11 module
returned CKR_DEVICE_ERROR, indicating that a problem has occurred with the
token or slot. Error code: SEC_ERROR_PKCS11_DEVICE_ERROR

    The page you are trying to view cannot be shown because the authenticity of
the received data could not be verified.
    Please contact the website owners to inform them of this problem.
------- Comment #5 From 2016-09-11 19:13:13 -------
Я всё ещё разбираюсь, но сломано не только у нас. Fedora также не хочет идти на
этот сайт с SSL3.
------- Comment #6 From 2016-09-12 11:27:23 -------
В Ubuntu действительно работает, но:
```
firefox 48.0+build2-0ubuntu0.16.04.1

$ dpkg -l | grep nss3
ii libnss3:amd64 2:3.23-0ubuntu0.16.04.1 amd64 Network Security Service
libraries
ii libnss3-1d:amd64 2:3.23-0ubuntu0.16.04.1 amd64 Network Security Service
libraries - transitional package
ii libnss3-nssdb 2:3.23-0ubuntu0.16.04.1 all Network Security Security
libraries - shared databases
```

У них старый nss.
------- Comment #7 From 2016-09-19 23:43:05 -------
Не удалось найти, в чем дело?
------- Comment #8 From 2016-09-21 12:20:46 -------
Вышла новая версия firefox и теперь она тоже сломана.

http://releases.mozilla.org/pub/firefox/releases/49.0/linux-x86_64/ru/firefox-49.0.tar.bz2
------- Comment #9 From 2016-09-21 12:22:03 -------
(In reply to comment #8)
> Вышла новая версия firefox и теперь она тоже сломана.
> 
> http://releases.mozilla.org/pub/firefox/releases/49.0/linux-x86_64/ru/firefox-49.0.tar.bz2

Сломана у нас с новым nss или у всех с любым nss?
------- Comment #10 From 2016-09-21 12:39:34 -------
(In reply to comment #9)
> Сломана у нас с новым nss или у всех с любым nss?

Проблема в NSS. Это апстримная проблема. По результатам моего расследования
складывается впечатление, что на каких-то сайтах (вероятно, только на сайтах с
слабым SSL [0]) включается FIPS, хотя его нет на машине.

Всё, что использует NSS определённым образом будет сломано т.е. оно уже
сломалось у нас, в Fedora и думаю скоро сломается в Debian/Ubuntu. В Fedora
сейчас также сломан curl т.к. он тоже использует NSS.

[0] https://www.ssllabs.com/ssltest/analyze.html?d=api.telecom13.ru
------- Comment #11 From 2016-09-27 13:22:43 -------
Приветствую.

Мы перенесли SSL на nginx и там оно заработало в FF почему-то.
Но проблема остается, теперь URL такой, там оставили старое:
https://api.telecom13.ru:8443/v2/user_auth

Просьба в апстримном баге тоже комментарий добавить.
------- Comment #12 From 2018-03-19 14:11:01 -------
https://bugzilla.redhat.com/show_bug.cgi?id=1377646#c19

I've checked the first 2 connections in the packet dump, in both cases the
signature created by server is invalid - the hashes don't match the data
exchanged.

So it's the server that is buggy, not the client.