IIS Performing Handshake und Zertifikatsfehler!

[thron]

Hallo,

ich habe ein Problem und komme nicht weiter. Ich habe eine Weseite auf einem IIS gehostet (W2K16-Server) und diese hat ein Root-Zertifikat von unsere Firma. Habe die Seite die ganze Zeit mit dem Firefox 43 ESr aufgerufen und alles lief ohne Fehler. Nun wurde der Firefox auf die Version 68 ESR geupdatet und es wird auch zeitgleich ein neues Rootzertifikat eingespielt.

Wenn ich nun die Seite über den Firefox aufrufe dauert der Aufruf sehr lange und unten links im Browser steht "TLS performing Handshake", dann kommt die Fehlermeldung: "Did Not Connect: Potential Security Issue". Wenn ich nun F5 drücke und kurz warten wird die Seite in gewohnter Weise mit gültigem Zertifiakt geladen!? Hat jemand eine Idee woran das liegen kann bzw. was das problem ist?


Fehler:

Someone could be trying to impersonate the site and you should not continue.

Websites prove their identity via certificates. Firefox does not trust server.test.mustermann.trust.de because its certificate issuer is unknown, the certificate is self-signed, or the server is not sending the correct intermediate certificates.


Error code: SEC_ERROR_UNKNOWN_ISSUER
View Certificate

Error code lautet: SEC_ERROR_UNKNOWN_ISSUER

.....

Peer's Certificate issuer is noct recognized.

HTTP Strict Transport Security: true

HTTP Public Key Pinning: false

Certificate chain:

.........


Viele grüße und danke im Voraus

Sascha

 

[Cardhu]

Nutzt du zufällig ESET als Antivirenprogramm? Da hatte ich das Problem nämlich auch letztens.

 

[snaxilian]

That's not how certificates work.

Kurzfassung und stark vereinfacht:
Eine CA hat ein Root-Zertifikat und einen dazu passenden Schlüssel. Damit werden dann weitere Zertifikate ausgestellt, z.B. für Webserver.
Jeder, der das Root-Zertifikat (nicht den Schlüssel) hat, kann die Gültigkeit und Korrektheit der Zertifikate überprüfen. Dafür musst du aber das Root-Zertifikat in den trusted store deines Browsers packen.

 

[thron]

Nein, ist ein Firmennetzwerk.

@snaxilain: Ja aber warum wird die Seite dann nach dem Refresh (F5) korrekt geladen= ? Wenn das Root-Zertifikat nicht im trusted store des Browers ist, ist es nach dem Drücken von F5 auch nich darin. Und warum dauert der Handshake dann so lange!?

 

[snaxilian]

Client-Cache? Irgendein Cache im IIS? Irgendwo im IIS noch das alte Zertifikat drin? Irgendein Loadbalancer oder Reverse Proxy dazwischen?

 

[thron]

Nichts im Cache, kein alte Zertifikat! Es gibt Proxy-Server davor.

Aber jetzt mal halt! Die Ratschläge sind zwar nett aber irgendwie ohne System:

Warum wird die Seite nach dem Refresh korrekt geladen, dass ist die Frage!!!!???

 

[gaym0r]

Ich hab schonmal von dem Problem gehört, da war es ein Problem von Firefox und wurde durch einen Reboot des Clients behoben
Daher die Fragen:

• Hast du schonmal deinen Rechner rebootet?
• Hast du das Problem auch bei anderen HTTPS-Seiten mit Firefox?
• Wie reagieren andere Browser? (Chrome, Edge)

 

[snaxilian]

Wenn ein Proxy dazwischen ist: Liefert dieser ggf. noch die alte (gecachte) Seite aus bzw. existiert auf dem Proxy auch das Zertifikat, warum auch immer?

Oooder: Lauscht der IIS auf IPv6 und IPv4 und auf einem der beiden Adressen ist noch das alte Zertifikat hinterlegt?

 

[dj-hotline]

Mal am Rande. besteht das Problem auch in anderen Browsern? Damit kann man den IIS als Ursache ausschließen oder bestätigen kann.

LG