Firefox neprojde přes HTTPS login MikroTiku

[Tomas Lehocky]

Ahojte

Mám ruter od Mikrotiku.

Po zapnutí HTTPS pre web-rozhranie na ruter mi Firefox vypíše, že certifikát je nedôveryhodný a odmietne mi zobraziť prihlasovaciu obrazovku. Ruter si certifikát samozrejme podpísal sám.

Problém je, že vo Firefoxe mi pri tomto konkretnom kroku chýba tlačidlo "rozumiem riziku - zobraz stránku".
Viete niekto ako toto chovanie Firefoxu zmeniť?

Ďakujem

[Reklama]

[kurkum]

Pokud nejsi ochotný věnovat čas učení, požádej někoho kdo se tím živí.

[Miroslav Šilhavý]

Pokud nejsi ochotný věnovat čas učení, požádej někoho kdo se tím živí.

Pan kolega se právě učí, netřeba ho stírat.

Firefox by měl hlásit kód chyby, z něj se dá vyjít. Může to být např.:
SSL_ERROR_NO_CYPHER_OVERLAP
MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT

Z hlavy mě napadá, jestli nemůže mít certifikát na routeru špatný datum. Pokud neměl router nastavený správně čas, může být certifikát exspirovaný nebo naopak v budoucnosti.

[Tomas-T]

Nevím co děláš špatně, ale dotyčná obrazovka u mě v aktuální verzi FF vypadá takhle (příloha)

[Medved.Brtnik]

Neni tam zapnuty HSTS? Firefox pak nemuze dovolit neduveryhodny certifikat. Mel by ale Firefox zobrazit hlasku typu "server send hsts you can't add exception" nebo neco v tomto duchu.
S tim jsem se uz taky pral.

[Reklama]

[Petr Krčmář]

HSTS je pravděpodobně správná odpověď. Ovšem HSTS se prohlížeč naučí jen v případě, že přijde na server s důvěryhodným certifikátem, což se tady nestalo. Takže se HSTS nemohl naučit přímo z MikroTiku.

Pravděpodobně je ale HSTS na nadřazené doméně a je tam parametr includeSubdomains. Pak se to přenese i na domény vyššího řádu, kde zřejmě běží ten MikroTik.

Řešením je v takové situace jedině nasazení správného důvěryhodného certifikátu, třeba od Let's Encrypt.

[AgentK]

Jinak takova drobna rada do budoucna pro tazatele.

Pokud postujes dotaz, byva dobre uvest detaily problemu. Treba screenshot vcetne URL, ten samotny certifikat a proste vsechno, co by tak mohlo pomoct. Je pak tezky vestit z kristalovy koule tvoji konkretni situaci z indicii v textu.

Taky neni jasne, jak ses dostal na tu login page. Jestli je to captive portal pri puvodnim pokusu jit externi stranku, tak tu samozrejme Let's Encrypt nepodepise. 
To se dela tak, ze middlebox (tvuj router) fakuje cert externiho serveru, ale obsah spojeni je pouhy redirect na portal na tom middleboxu. Ten portal uz je https s normalnim certem a serviruje klientovi login page.

Cili na ten redirect potrebujes vlastni duveryhodnou CA. Ale jestli tohle uz umi Mikrotik, to netusim.

-k-

[Tomas Lehocky]

Ďakujem za komentáre. Bol som trochu mimo preto píšem až teraz. Idem na rutri znovu zapnúť https a pozrieť sa na veci čo ste napísali.