Comment contourner l'avertissement «connexion sécurisée en échec» dans Firefox 33

71

Depuis l’installation de Firefox 33, une erreur «Échec de la connexion sécurisée» n’est plus contournable à l’aide du bouton
« Je comprends les risques ». C’est parti!

Est-il toujours possible d'ignorer les erreurs de certificat? (par exemple pour une utilisation paresseuse dans des environnements locaux)
Code d'erreur: sec_error_invalid_key

Avertissements

RienNeVaPlu͢s
la source
7
Êtes-vous à 100% les deux messages d'erreur sont les mêmes, parce que selon mon expérience, ils ne sont pas.
Ramhound
Je me penche également pour "erreur différente". Je viens de mettre à jour Firefox 33 et la boîte de dialogue "La connexion est non sécurisée" n'a pas changé pour moi. Une modification telle que vous la suggérez (suppression du choix de l'utilisateur pour les certificats non valides) aurait des conséquences énormes sur les interfaces Web des réseaux intranet d'entreprise, de nombreux composants Internet, et en particulier des périphériques SOHO tels que les modems câble et les routeurs WiFi. Il y a plus de chances qu'il y ait un problème de connexion au serveur ou quelque chose du genre. Avez-vous essayé d'autres sites HTTPS dotés de certificats non valides?
Iszi
Il est également possible que vous rencontriez un bogue connu qui semble
exister
2
Vous avez bien caché le code d'erreur réel, je crois. En outre, l'image est petite.
Daniel B
4
Je peux confirmer que FF33.0 échoue avec (code d'erreur: sec_error_invalid_key) sur le même site que 32.0 sur lequel il travaillait avant la mise à niveau, sur le même ordinateur client. Il fonctionne également toujours sur Ubuntu / Canonical FF30.0. (idem que les screenshots).
MattBianco

Réponses:

33

Ouvrez Firefox about:config

Set security.tls.insecure_fallback_hosts = www.domain.com(remplacez le domaine avec lequel vous rencontrez le problème)

Recharge la page

sage
la source
2
C'est la réponse qui répond réellement à la question. Certaines des réponses les plus votées sont tout à fait hors de propos (ne pas donner de solution à la question et aux problèmes de Webmin) ...
pgr
12
Cela ne fonctionnait pas pour moi dans Firefox 48.0 (OS GNU / Linux, si cela fait une différence).
code_dredd
2
Ne fonctionne pas dans Firefox 53.0 Mac. Peut-être est-ce dû au fait que j'essaie de faire figurer sur la liste blanche une adresse IP 192.168.1.219 et non un nom de domaine.
Sudo
2
C'est une question extrêmement ancienne. La solution actuelle (2017) était impossible lorsque la question initiale a été publiée et la question a été modifiée / améliorée depuis sa première question.
MattBianco
2
Alors à quelle version de FF cette réponse est-elle applicable? Et comment comptez-vous ajouter plusieurs sites Web? Concaténer avec des virgules, des points-virgules? Nombre surprenant de votes positifs pour une réponse faible.
Adam le
14

Ce problème a été signalé à Mozilla sur son forum de support.

La raison en est que Firefox 33 a totalement basculé vers le plus strict libPKIXet vous ne pouvez plus désactiver cette bibliothèque et revenir au NSScode précédent .

Voir le blog et le bogue relatifs à Mozilla :

Bogue 975229 - Suppression de la vérification de certificat basée sur NSS

Il semble qu'ils ne changeront pas ce comportement.

Si votre problème est semblable au mien, sur un site Webmin , essayez de recréer le certificat à partir de Webmin. Cela m'a aidé à récupérer "créer une exception de sécurité" dans FF 33.0!

MattBianco
la source
2
Je peux confirmer que la recréation du certificat a ramené l'ancien dialogue tel qu'il est connu à partir de FF32 et inférieur. Merci Matt! Pour toutes les personnes concernées, voici un bon guide sur la façon de recréer votre certificat .
RienNeVaPlu͢s
En outre, Firefox affiche l'erreur de certificat standard non approuvé si vous créez un certificat auto-signé avec le CN défini sur votre nom de domaine.
Brosse à dents
7
Merci d'avoir fourni une solution, mais dans tous les cas, c'est GODDAMN COMPLICATED! Firefox est de moins en moins utilisable tous les jours, c’est comme s’ils essayaient de forcer tout le monde à utiliser Chrome.
Mephisto
3
C'est ridicule en effet.
Erwin
10

J'ai eu le même problème avec Webmin et firefox 33. Lorsque j'ai examiné le certificat SSL utilisé par Webmin, j'ai constaté qu'il utilisait une clé de 512 bits! C'était la taille de clé par défaut lorsque j'ai installé Webmin il y a quelques années.

Firefox 33 ne prend plus en charge les clés inférieures à 1024 bits (avec raison). Voir la compatibilité du site

Vous pouvez corriger cela directement depuis Webmin si vous utilisez un autre navigateur qui vous permet de contourner ce type d'erreur ou de désactiver temporairement SSL dans webmin en définissant ssl = 0 dans /etc/webmin/miniserv.conf et en redémarrant Webmin avec "/ etc / init.d / webmin restart ". Il suffit de se connecter à l'interface Web Webmin et sélectionnez: Webmin -> Webmin Configuration -> SSL Encryption -> Self Signed Certificate. Remplissez le formulaire (ou laissez les valeurs par défaut) puis cliquez sur le Create Nowbouton. Si vous avez temporairement désactivé ssl, activez-le avec ssl = 1 dans /etc/webmin/miniserv.conf et redémarrez Webmin avec "/etc/init.d/webmin restart". Ceci mettra à jour votre certificat auto-signé pour Webmin et vous pourrez maintenant accéder à la page depuis Firefox 33 (avec l'avertissement habituel du navigateur concernant une connexion non sécurisée).

Aner
la source
1
Donc, il n'y a aucun moyen d'accepter ces certs de toute façon?
Geremia
6

Tentative de suggestion de @wisbucky, mais le redémarrage du navigateur est nécessaire pour éviter l'erreur "Échec de la connexion sécurisée".

Les étapes suivies étaient -

Ouvrez la configuration de Firefox en tapant ce qui suit dans la barre d'adresse -

à propos de: config

Recherchez security.tls.insecure_fallback_hosts et définissez-le sur

security.tls.insecure_fallback_hosts = nom d'hôte du site en erreur

aix
la source
4

Pour les messages concernant une clé DH faible, essayez de basculer entre les préférences suivantes (dans Firefox about:config):

  • security.ssl3.dhe_rsa_aes_128_sha
  • security.ssl3.dhe_rsa_aes_256_sha

Cela a résolu l'erreur "Connexion sécurisée en échec" que je voyais:

SSL a reçu une clé éphémère Diffie-Hellman faible dans le message d'établissement de liaison Server Key Exchange. (Code d'erreur: ssl_error_weak_server_ephemeral_dh_key)

palswim
la source
1
Je vous remercie! Depuis la dernière mise à jour FF, je ne pouvais plus accéder à mon routeur à cause de ce message d'erreur. Fonctionne bien maintenant! D'un autre côté, j'aimerais que la compagnie du routeur en question ne soit pas si paresseuse et ne mette à jour que les microprogrammes avec de nouveaux certificats, car ils ont déjà un an de validité.
rfreytag
0

La clé Webmin initiale auto ssl est de 512 octets

Solutions: en utilisant chrome ou firefox, connectez-vous à Webmin, dans la configuration Webmin -> Cryptage SSL-> Certificat auto-signé

créez une nouvelle clé SSL et un nouveau certificat pour votre serveur Webmin, la clé RSA sélectionne la valeur par défaut (2048) et indiquez sue "Utiliser la nouvelle clé immédiatement".

alors vous pouvez utiliser l'accès Internet IE Webmin

zer0
la source
0

Autre solution potentielle à noter: dans votre about:configprofil d’utilisateur, certains paramètres peuvent avoir été altérés.

Un en particulier qui a été noté ici :security.tls.version.max

En particulier, la discussion sur le site lié indique que, d'une manière ou d'une autre, le security.tls.version.maxparamètre avait été modifié de sa valeur d'origine ( 3) à la nouvelle valeur de 1, et après ce changement, l'utilisateur n'était plus en mesure de se connecter à certains sites nécessitant le nouveau transport. Sécurité de couche.

Un moyen simple de vérifier si cela se produit sans vous en mêler au préalable about:configest d’essayer de créer un nouveau profil en exécutant firefox -Ppuis en créant un nouveau profil et de voir si vous pouvez visiter le site avec succès.

pnkfelix
la source