FF 41.0.2 - Secure Connection Failed

[hawran diskuse]

Asi jsem špatně pochopil význam frází "postupně začínají přitvrzovat" a "začal označovat" ve zprávičce
http://www.root.cz/zpravicky/vyvojova-verze-firefoxu-chce-https-na-strankach-s-prihlasenim/

Webové prohlížeče postupně začínají přitvrzovat a obyčejné HTTP spojení už někdy nepovažují za bezpečné...

Teď jsem omylem klikl na bookmark na moji emailovou stránku v našem intranetu, která je (samozřejmě, náš interní "certifikát") https://mail....
a firefox na mne vyhodil toto:



Secure Connection Failed
The connection to the server was reset while the page was loading.

The page you are trying to view cannot be shown because the authenticity of the received data could not be verified.
Please contact the website owners to inform them of this problem.
[Try Again] [Report this error ]

Ale už žádná možnost, abych se tam přihlásil.
Přestože já chci.
Já vím, proč tam lezu.


Od které doby mi bude nějaká aplikace říkat, co smím a nesmím?
Tak kde to jsme?!

    

[Reklama]

[JardaP .]

Tyhlety intranety se musi zakazat. To by bylo, aby si lidi lezli na nejake maily, ktere nema NSA pod palcem.

Asi si holt budes muset naimportovat certifikat. To by snad melo jit, ne?

[Ondřej Caletka]

Ale už žádná možnost, abych se tam přihlásil.
Přestože já chci.
Já vím, proč tam lezu.

Od které doby mi bude nějaká aplikace říkat, co smím a nesmím?
Tak kde to jsme?!

Obraťte se na správce služby, který si takové chování prohlížeče vyžádal instalací HSTS hlavičky. A nebo jednoduše vyčištěte HSTS cache.

[hawran diskuse]

Tyhlety intranety se musi zakazat. To by bylo, aby si lidi lezli na nejake maily, ktere nema NSA pod palcem.

Asi si holt budes muset naimportovat certifikat. To by snad melo jit, ne?

No právě to mne na tom taky vytočilo.
Nevím proč, ale nějak si pamatuju doby, kdy u takové stránky firefox sice zaječel, ale nabídl mi možnost si ten certifikát importovat(?). A pak jsem mohl takové stránky normálně použivat.
Ale teď NIC.

Prostě "my jsme rozhodli, že tam ty nepolezeš".
Tečka.

[Petr Krčmář]

Jak píše Ondřej výše, je to konkrétní službou, která pomocí HSTS hlavičky prohlížeči říká, že „tato služba musí za všech okolností používat HTTPS s důvěryhodným certifikátem; pokud ne, považuj to útok“. Čili to rozbil ten, kdo tu službu instaloval. Buď měl zařídit pořádný certifikát nebo neposílat informaci o tom, že tam takový certifikát je. Každopádně to chování prohlížeče je správné, právě proto, že to po něm takto admin chce.

[Reklama]

[hawran diskuse]

Jak píše Ondřej výše, je to konkrétní službou, která pomocí HSTS hlavičky prohlížeči říká, že „tato služba musí za všech okolností používat HTTPS s důvěryhodným certifikátem; pokud ne, považuj to útok“. Čili to rozbil ten, kdo tu službu instaloval. Buď měl zařídit pořádný certifikát nebo neposílat informaci o tom, že tam takový certifikát je. Každopádně to chování prohlížeče je správné, právě proto, že to po něm takto admin chce.

No, jsem možná ochoten uznat, že "je to očekávané a správné chování".
Jen mi není jasné, co v tom (z ničehonic) absolutním znepřístupnění mnou požadované stránky je "začíná přitvrzovat a označuje".

[Ondřej Caletka]

HSTS je podporováno ve Firefoxu od verze 4, takže to nijak nesouvisí s aktuální verzí a s aktuální změnou označování HTTP-only stránek.
Zřejmě jste měl někdy v minulosti instalován kořenový certifikát firemní CA, takže se stránka jevila jako důvěryhodná a nainstalovala do cache HSTS hlavičku. Teď stránka důvěryhodná není a záznam v HSTS cache brání prohlížeči, aby uživateli povolil odkliknutí bezpečnostního upozornění.