[zorp-hu] firefox es chrome cert problema

2012. Nov. 15., Cs, 12:14:25 CET

Idézet ("Kosa Attila" <zsiga at kosaek.hu>):

Hello!

> A zorp 3.3.6-1.1 verzioju, a firefox es a google chrome a
> legujabb (magyar Windows 7 Ultimate alatt futnak). Egy nagyon
> egyszeru https zorp proxy-n keresztul mennek ki a https
> kapcsolatok. A tuzfal a sajat certificate-jet mutatja a belso
> halozat klienseinek, amelyeken importalasra kerult az a CA,
> amellyel ala van irva a tuzfal cert-je. Peldaul az otpbank
> weboldala gond nelkul bejon (es meg sok mas oldal is), de a
> gmail.com nem. Firefox alatt eloszor arra panaszkodott, hogy
> "sec_error_cert_signature_algorithm_disabled". Az
> about:config-ban a "security.enable_md5_signatures" true-ra
> allitasaval sikerult atlendulni ezen a hibauzeneten, de jott egy
> masik: "ssl_error_bad_cert_domain". Ami igaz is, de _minden_ mas
> https-es oldalra is igaz, hiszen a kliens a tuzfal cert-jet
> latja, mas https-es oldalak megis mukodnek, csak a gmail.com nem
> akar.
>
> Google chrome alatt pedig azt irja, hogy "Nem folytathatja, mert
> a honlap üzemeltetője fokozott biztonságot kért erre a domainre."
>
> Azonban en megis ki szeretnek menni a gmail-re, ezen a zorp https
> proxy-n keresztul. Mit kellene beallitani a bongeszokben, hogy
> ezt megengedjek?
>
> Firefox alatt mar probaltam a
> "browser.xul.error_pages.expert_bad_cert" opciot true-ra
> allitani. Igy megjelent az a gomb, hogy kivetelt adhatok hozza,
> de hiaba adom hozza, akkor sem megy tovabb...
>

Lehet, hogy ez itt a gond:

Zorp3.4.3 és előtte:

Április 1 től úgy látszik szigorúbb lett a Chrome browser, de lehet  
hogy követi a többi is lassan. Lásd attacsment.

"Since MD5 is claimed to be vulnerable and federal agencies start to  
urge phase out SHA1, we should use
refrain from using MD5; use SHA-256 if we can; at least use SHA1."

A keybridge pedig ennek nem tesz eleget:

Keybridge.py

         def genCert(self, key, orig_cert, ca_cert, ca_key, serial):
                         filetype = OpenSSL.crypto.FILETYPE_PEM

                         new_cert =  
OpenSSL.crypto.load_certificate(filetype,  
OpenSSL.crypto.dump_certificate(filetype, orig_cert))
                         new_cert.set_serial_number(serial)
                         new_cert.set_issuer(ca_cert.get_subject())
                         new_cert.set_pubkey(key)
                         if ca_key.type() == OpenSSL.crypto.TYPE_DSA:
                                 hash_alg = "DSA-SHA1"      # taken  
from openssl-0.9.8i/crypto/objects/obj_dat.h
                         else:
  --->>>                         hash_alg = "md5"
                         new_cert.sign(ca_key, hash_alg)

                         return new_cert

c