FF (91.7.0esr): SEC_ERROR_REUSED_ISSUER_AND_SERIAL

[Bernd]

Hi,

hier(tm) werkelt eine Software deren Module die interne Kommunikation
via SSL verschlüsselt. Nun hat diese SW eine neue CA ausgerollt (SHA256
statt SHA1). Allerdings hat sie (wohl aus Gründen) die Seriennummer der
CA/Zertifikate beibehalten.

Nun meckert FF mit der Meldung SEC_ERROR_REUSED_ISSUER_AND_SERIAL. Auch
wenn ich das Zertifikat aus dem FF-Zertifikatsspeicher lösche wie hier
<https://support.mozilla.org/en-US/kb/Certificate-contains-the-same-serial-number-as-another-certificate>
vorgeschlagen, kommt die Meldung immer noch.

Wie kann ich FF davon überzeugen das Zertifikat zu akzeptieren/mir
erneut zur Prüfung vorzulegen?

Bernd

[Marcel Logen]

Bernd in de.comm.software.mozilla.browser:

>Nun meckert FF mit der Meldung SEC_ERROR_REUSED_ISSUER_AND_SERIAL. Auch
>wenn ich das Zertifikat aus dem FF-Zertifikatsspeicher lösche wie hier
><https://support.mozilla.org/en-US/kb/Certificate-contains-the-same-serial-number-as-another-certificate>
>vorgeschlagen, kommt die Meldung immer noch.

Hast Du auch alle Punkte dort abgearbeitet, insbesondere 6, 9 und 10?

>Wie kann ich FF davon überzeugen das Zertifikat zu akzeptieren/mir
>erneut zur Prüfung vorzulegen?

Eine wirkliche Idee dazu habe ich leider nicht.

Ob das löschen der CA unter "Authorities" allerdings noch andere Aus-
wirkungen hat, ist die Frage. Aber man kann sie ja ggf. wieder hinzu-
fügen.

Marcel eat (14685)
--
╭───╮ ╭─────╮ ╭───╮ ╭──╮ ╭──────╮ ╭──╮
╰─╮ ╰─╮ ╰──╮ │ ╰─╮ ╰─╯ ╰────────────╮ ╰──╮ ╰───╯ │
─╮ │ │ ╭─╯ ╰─╮ │ ╭─╯ ╭─╯ ╭─╯
╰─╯ ╰───╯ ╰──╯ ╰─────╯ 09137d ╰───────────────

[Bernd]

Am 27.03.22 um 14:49 schrieb Marcel Logen:

> Bernd in de.comm.software.mozilla.browser:
>
>> Nun meckert FF mit der Meldung SEC_ERROR_REUSED_ISSUER_AND_SERIAL. Auch
>> wenn ich das Zertifikat aus dem FF-Zertifikatsspeicher lösche wie hier
>> <https://support.mozilla.org/en-US/kb/Certificate-contains-the-same-serial-number-as-another-certificate>
>> vorgeschlagen, kommt die Meldung immer noch.
>
> Hast Du auch alle Punkte dort abgearbeitet, insbesondere 6, 9 und 10?

Es gibt zu diesem Zertifikat kein CA-Zertifikat im FF. (?)

>
>> Wie kann ich FF davon überzeugen das Zertifikat zu akzeptieren/mir
>> erneut zur Prüfung vorzulegen?
>
> Eine wirkliche Idee dazu habe ich leider nicht.

Hmm, ein anderes FF-Profil löst dieses Problem natürlich ... aber das
ist sehr unkomfortabel.

Aber in der sqlite-db (cert9.db) steht es drin ...
Da sieht auch was wie ein CA-Zert. aus (vom Namen her).

Ich muss mal sehen wie man da dran kommt ...

[Marcel Logen]

Bernd in de.comm.software.mozilla.browser:

>Am 27.03.22 um 14:49 schrieb Marcel Logen:
>>Bernd in de.comm.software.mozilla.browser:

>>>Nun meckert FF mit der Meldung SEC_ERROR_REUSED_ISSUER_AND_SERIAL. Auch
>>>wenn ich das Zertifikat aus dem FF-Zertifikatsspeicher lösche wie hier
>>><https://support.mozilla.org/en-US/kb/Certificate-contains-the-same-serial-number-as-another-certificate>
>>>vorgeschlagen, kommt die Meldung immer noch.

Blöde Frage, aber: Bist Du sicher, daß Du das richtige gelöscht hast?

>>Hast Du auch alle Punkte dort abgearbeitet, insbesondere 6, 9 und 10?
>Es gibt zu diesem Zertifikat kein CA-Zertifikat im FF. (?)

Also ist/war es self-signed (issuer und subject sind gleich)?
Laß Dir das Zertifikat mal im/vom Firefox anzeigen, wenn das geht.

Da Du am Anfang etwas von "Ausrollen einer CA" geschrieben hast,
dachte ich, daß es auch ein Wurzelzertifikat dazu geben müßte.

>Hmm, ein anderes FF-Profil löst dieses Problem natürlich ... aber das
>ist sehr unkomfortabel.

Das kann ja auch nicht wirklich die Lösung sein.

>Aber in der sqlite-db (cert9.db) steht es drin ...
>Da sieht auch was wie ein CA-Zert. aus (vom Namen her).
>
>Ich muss mal sehen wie man da dran kommt ...

Hm, diese db-Dateien habe ich mir noch nie angesehen. Ich würde da
manuell nichts drin ändern.

Hast Du auch mal im "Authorities"-Tab geschaut, nicht nur im Reiter
"Servers"?

Marcel 603i (196722)
--
╭─╮ ╭──╮ ╭────╮ ╭───╮ ╭─────────╮ ╭───╮ ╭───╯
╭─╮ │ ╰──╯ │ ╭──╮ ╰──╮ ╰─╯ ╰──╮ ╰───────╮ ╰───╯ ╰───╯
╭─╯ ╰─╯ ╭────╯ │ ╰──╮ ╰──╮ ╰──────╮ ╭─╮ │
─╯ ╰────────╯ ╰─────╯ ╰──╯ ╰─╯ 447f6e

[Bernd]

Am 31.03.22 um 02:07 schrieb Marcel Logen:

> Bernd in de.comm.software.mozilla.browser:
>
>> Am 27.03.22 um 14:49 schrieb Marcel Logen:
>>> Bernd in de.comm.software.mozilla.browser:
>
>>>> Nun meckert FF mit der Meldung SEC_ERROR_REUSED_ISSUER_AND_SERIAL. Auch
>>>> wenn ich das Zertifikat aus dem FF-Zertifikatsspeicher lösche wie hier
>>>> <https://support.mozilla.org/en-US/kb/Certificate-contains-the-same-serial-number-as-another-certificate>
>>>> vorgeschlagen, kommt die Meldung immer noch.
>
> Blöde Frage, aber: Bist Du sicher, daß Du das richtige gelöscht hast?
>
>>> Hast Du auch alle Punkte dort abgearbeitet, insbesondere 6, 9 und 10?
>> Es gibt zu diesem Zertifikat kein CA-Zertifikat im FF. (?)
>
> Also ist/war es self-signed (issuer und subject sind gleich)?
> Laß Dir das Zertifikat mal im/vom Firefox anzeigen, wenn das geht.
>
> Da Du am Anfang etwas von "Ausrollen einer CA" geschrieben hast,
> dachte ich, daß es auch ein Wurzelzertifikat dazu geben müßte.

Ja, das gibt es normalerweise auch, aber es ist im FF nicht zu finden.

>
>> Hmm, ein anderes FF-Profil löst dieses Problem natürlich ... aber das
>> ist sehr unkomfortabel.
>
> Das kann ja auch nicht wirklich die Lösung sein.
>
>> Aber in der sqlite-db (cert9.db) steht es drin ...
>> Da sieht auch was wie ein CA-Zert. aus (vom Namen her).
>>
>> Ich muss mal sehen wie man da dran kommt ...
>
> Hm, diese db-Dateien habe ich mir noch nie angesehen. Ich würde da
> manuell nichts drin ändern.

Hm, ja die scheinen undurchsichtig zu sein ...

>
> Hast Du auch mal im "Authorities"-Tab geschaut, nicht nur im Reiter
> "Servers"?

ja, klar

Ein Neustart aller Browser-Instanzen (mache ich eher selten da ich meist
einige aktiv habe) hat das Problem übrigens verschwinden lassen ... ?!?

Nicht schön, aber besser als ein neues Profil.

Danke fürs Mitdenken!

Bernd