Topic: Firefox 4.0 Linux - Smart card SSL failure

[giuliano1969]

Ubuntu 10.04 - lettore minilector ACR38 PR - bit4id
Utilizzando la versione 3.6.17 con i siti www.registroimprese.it (camera commercio) e http://cartaservizi.regione.fvg.it/, (servizio sanitario )  la connessione avviene regolarmente in https autenticato.

_aggiornando_ dalla 3.6.17  alla versione 4.01,  la smart card vengono viste correttamente all'interno di preferenze->security device, ma non gestite nelle autenticazioni ai siti anzidetti.

Tentando di accedere ai siti indicati con smartcard, la connessione SSL fallisce.
Ripristinando la versione 3.6.17 tutto funziona nuovamente.

Trattandosi di connessione da effettuare e testare con smartcard, chiedo quali screenshot specifici si possono realizzare per aiutare i ricercatori a risalire al problema.

[gialloporpora]

Con gli screenshot  non credo si possa fare  un granché
Bisognerebbe piuttosto, provare tutte le build di Firefox (usando un processo dicotomico), finché  non si arriva a quella non funzionante.

Poi vedo se esiste già un bug a riguardo.

[giuliano1969]

ho controllato sul sito bugzilla e non è stato ancora segnalato.
Ho aggiunto la segnalazione su bugzilla.

Vedo che usi Winxp; hai modo di provare se la versione Windows ha lo stesso problema ?

[gialloporpora]

Purtroppo no, non ho una smart card.
Qual'è il link al bug che hai aperto?

Edit:
È lo stesso problema di @verishakar?
http://forum.mozillaitalia.org/index.php?topic=47861.msg308087#msg308087

se si unisco le discussioni.

[giuliano1969]

posso confermare che con la versione 3.6.17 _linux_ accedo stabilmente con smartcard a

• agenzia entrate
  inps
  registro imprese
  servizio sanitario regionale

Il link indicato specifica tuttavia una versione 3.12 e un s.o. windows.
Ignoro se il problema è stato risolto nella 3.6.17 rispetto alla 3.6.12 oppure se il codice win e il codice linux hanno sostanziali differenze tali da rendere il bug non cross platform

Con certezza la registrazione in FF dei driver del lettore e sopratutto della smartcard (sia essa standard ST Incard o siemens Obertus) è profondamente diversa...

[MaK]

Se compili un bug assicurati di inserirlo nella sezione relativa al componente NSS, dovrebbe essere più facile avere risposte concrete.

[giuliano1969]

Problema rapidamente risolto dal servizio firefox, e con imbarazzo per i siti italiani.

Si tratta di un bug al protocollo SSL del 2009, che sfrutta la rinegoziazione per inserire il man in the middle.
Tale door è attualmente chiusa in FF4, per aderire allo standard RFC 5746.

Purtroppo  i siti italiani stanno tardando ad aggiornare i protocolli di accesso ai server, e quindi consigliano di rimuovere tale protezione per i loro siti con il security.ssl.renego_unrestricted_hosts

Perchè mai poi un sito protetto da smartcard dovrebbe preoccuparsi della segretezza dei dati trasmessi...

ho segnato il caso come fixed su bugzilla.


The error message you get, in the first place. I assume it's

  Renegotiation is not allowed on this SSL socket.
  (Error code: ssl_error_renegotiation_not_allowed)

right? And in the Error Console, you probably see stuff like this:

cartaservizi.regione.fvg.it : server does not support RFC 5746, see CVE-2009-3555
telemaco.infocamere.it : server does not support RFC 5746, see CVE-2009-3555

If so, then the operators of these sites should actually update their servers, really. There's no excuse to not support RFC 5746 these days, especially for sites requiring TLS client authentication.

You can temporarily work around this in Firefox 4 by using the "security.ssl.renego_unrestricted_hosts" preference (see https://wiki.mozilla.org/Security:Renegotiation#security.ssl.renego_unrestricted_hosts).