RE:Ab Firefox 101 funktioniert meine CA nicht mehr.

  • Firefox-Version
    101
    Betriebssystem
    openSUSE Tumbleweed

    Hallo!

    Auch wenn der Originalbeitrag (IMHO völlig zu Recht!) entfernt wurde, möchte ich dennoch die versprochene Antwort schreiben.

    Gestern haben meine beiden Rechner (und vermutlich auch die Rechner meiner Partner) die aktuelle Version 101.0 (64-Bit) aus dem Repo gezogen.

    Wie zu erwarten war, funktionierten alle von meiner eigenen XCA generierten (TSL-)Zertifikate auch unter dem Fx in der o.g. Version perfekt. Es handelt sich hier ausschließlich um aus dem "Heimnetz" (hier: Wireguard-VPN) erreichbare Geräte.

    Konkret :

    - das GUI von 8 Fritz-Boxen bzw. anderen Routern (einschließlich diverser Fritz-App Fon, die mal ein Problem mit selbst generierten Zertifikaten hatten)

    - insgesamt 5 Synology-NAS

    - alle meine 8 Wireguard-Server auf der Basis der F!B 4040 bzw. 7412 (natürlich nur deren GUI)

    - 5 Raspberry Pi (pi-hole und Seafile-Server)

    - und noch einiges anderes "Gerödel"

    Auch von meinen Partnern habe ich keine Fehlermeldungen erhalten.

    Fazit: Da muss wohl beim TE (breeder) etwas anderes nicht in Ordnung sein.

    vy 73 de Peter

  • Eben gelesen:

    Firefox 101-0 (64-Bit) Certificate handling • mozillaZine Forums

    Zitat

    Firefox 101 now requires the domain to be listed in the Subject Alt Name field -- it will no longer use the Common Name field as a fallback:

    * https://mobile.twitter.com/thedarktangent…295925581787136

    * https://bugzilla.mozilla.org/show_bug.cgi?id=1691122

    Hilft das?

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Also ein komplett selbst verschuldetes Problem. Ich hebe das deswegen hervor, weil die Annahme im ursprünglichen Thread von Anfang an war, dass Mozilla etwas „verbockt“ hätte.

    Removed "subject common name" fallback support from certificate validation. This fallback mode was previously enabled only for manually installed certificates. The CA Browser Forum Baseline Requirements have required the presence of the "subjectAltName" extension since 2012, and use of the subject common name was deprecated in RFC 2818.


    RFC 2818 ist schon über 22 Jahre (!) alt und erwähnt tatsächlich bereits, dass man das Feld nicht verwenden sollte, welches Firefox seit Version 101 nicht mehr als Fallback für ein fehlendes subjectAltName-Feld unterstützt.