Avatar billede CipherGuy Novice
20. november 2019 - 14:00 Der er 1 kommentar

Self-signed CA til TLS virker ikke i Chrome

Hej.

Jeg er igang med at lave min egen web-server og her prøver jeg at få enabled HTTPS.

I den omgang har jeg brugt mbedTLS til at genere 2 certifikater:
Certificate Authority og et Identity Certificate.

Jeg startede med at bruge RSA (2048 bit) og dette virkede fint i alle browsere.
Problemet er at det er en tidskrævende process at lave en RSA key. Derfor ville jeg gerne benytte mig af ECC i stedet for.

Efter jeg fik skrevet min kode om, fik jeg noget der ligner valide certifikater.
Jeg kan også fint oprette https op imod firefox, IE, Edge når jeg har lagt mit CA ind i min trust store.
Men chrome skriver: NET::ERR_CERT_INVALID.
Kigger jeg i Wireshark for Chrome får jeg "Certificate Unknown (46)" - som min klient sender op imod serveren.
For Firefox kommer jeg fint videre.

Ser jeg på de logs der bliver lavet af mbedTLS, så får jeg både for Firefox og Chrome:
selected ciphersuite: TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384
Hvilket også er det jeg forventer, eftersom jeg bruger MBEDTLS_ECP_DP_SECP384R1 og MBEDTLS_MD_SHA256 til min generering.

Er der nogle af jer som kan svare på, hvad Chrome gør anderledes, er de mere strikse på nogle områder i forhold til hvad der står i certifikaterne?

På forhånd mange tak.
Avatar billede CipherGuy Novice
25. november 2019 - 14:51 #1
Jeg har stadig ikke fundet frem til en løsning.
Dog kan jeg se, at alle public CA der findes, er lavet på RSA (2048 / 4096).
Der hvor folk bruger ECC er til deres Identity Certificates.

Hvis jeg lavet et RSA CA og får den til at signe en CSR der er bygget på ECC, så virker det fint, det er dog ikke det jeg ønsker.

Hvis nogle har lyst til at prøve mine certifikater af, så er de her:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester