9 de mayo de 2014

Firefox 31 (Aurora) ¡¡sec_error_ca_cert_invalid!!

Era hace una vez:

     En un servidor HP con interfaz web ILO habilitada, que enviaba este horroroso mensaje ¡¡ sec_error_ca_cert_invalid !!, al principio creí que era algún problema con los certificados, googleando el error llegue a la aparente solución de eliminar los certificados.

Preferencias> Avanzado> Certificados> Ver certificados> Servidores

    Ya eliminados recargue la pagina y nada, continuaba el mismo mensaje error, volví a revisar en el troubleshoot de Mozilla, los mismos pasos que realize eran los que se indicaban que deberían de realizar :'(

    Ya dejado a un lado el problema y conectando a la ILO vía ssh, como es mi costumbre dedique un par de minutos a leer un par de feeds y  ¡oh sorpresa¡ apareció la noticia de que a partir de la versión de firefox 31 la cual oficialmente llegara en julio se implementara una nueva característica para fortalecer la vinificación de certificados SSL llamada "mozilla::pkix", yo uso la versión aurora de firefox que a el día de hoy esta en la "31.0a2 (2014-05-07)".

     Los certificados que se ofrece la ILO no pasan las políticas de seguridad emitidos por el  Certification Authority/Browser (CAB) Forum y las propias de mozilla, facilmente confundí el error que me envió firefox y ataque mal el problema, la solución temporal para poder acceder a la ILO es:
  • Abrir about:config
  • Localizar la preferencia "security.use_mozillapkix_verification"
  • Cambiar su valor de "true" a "false"
Y listo recargar la pagina de la ILO, aceptar los certificados no validados y entrar!
NOTA: A leer para encontrar una mejor solución.
 

2 comentarios:

  1. Excelente solución, gracias!!

    ResponderEliminar
  2. Pues, si. Así funciona porque la solucion de añadir excepciones a los certificados que no pasan el corte, no funciona. Esperemos que firefox lo solucione por que supongo que así, pasarán todos los certificados, los que sabems que son seguros pero tambien los que no.
    Y por cierto Carlo, como que... era hace un vez?, es "erase un vez" ;-)
    Un saludo y gracias

    ResponderEliminar