Edge Canary und Client-Zertifikate – geht das? [gelöst]

[GwenDragon]

Kann jemand mal mit Edge Canary testen was auf https://www.integralblue.com/testhandshake/ passiert?
Eigentlich sollte eine Meldung kommen, dass Client Zertifikat fehlt oder so.
Aber bei mir eine Forbidden-Seite auf Linux.

Auf Firefox 98 und 100.0a1 Nightly kommt da

Fehler: Gesicherte Verbindung fehlgeschlagen

Beim Verbinden mit www.integralblue.com trat ein Fehler auf. SSL_ERROR_RX_CERTIFICATE_REQUIRED_ALERT

Ich kann gerade dort nicht Windows testen und möchte Wissen, ob Microsofts Edge da funktioniert.

Was ist da bei euch auf Windows 10/11?

[Tante Google]

[moinmoin]

403 Forbidden im Canary (Windows)
You don't have permission to access this resource.Reason: Cannot perform Post-Handshake Authentication.

Edit: Die http://www.integralblue.com/ lässt sich aber aufrufen

[DK2000]

Die selbe "Forbidden" Meldung bekomme ich aber auch bei Edge Stable und Chrome Stable in Windows 10.

Die Verbindung wird aber als sicher angezeigt. Canary kann ich da gerade nicht testen.

[GwenDragon]

Mist, ich werde nachher mal einige VM mit Windows 7/8/10/11 auf meinem Linux aufsetzen und das mit Edge und Chromium testen müssen.

[GwenDragon]

Mist, sieht so aus als würde das Chromium-Geraffel samt MS Edge da streiken. Da ist wohl was bei deren TLS 1.3-Implementierung defekt.

Mal sehen ob das bei anderen Nicht-Browser-Clients auch so ist.

[GwenDragon]

Ich hab was gefunden zu Edge: https://docs.microsoft.com/en-us/answer ... thent.html das streikt auch bei Microsoft-Servern bezüglich "post-handshake authentication".

Weiß irgendjemand ob es bei Microsoft schon Bugreports gibt bezüglich Edge und Problemen mit post-handshake authentication?

[moinmoin]

Nein, leider.

[GwenDragon]

Wen ich ein Feedback ans MS sende, geht das eh verloren und interessiert niemand, oder wie melde ich Bugs?

[moinmoin]

Für die Canary könnteste mal hier schauen. Hab da nicht so den Überblick beim Edge

https://techcommunity.microsoft.com/t5/ ... iscussions

[GwenDragon]

Danke.

[Holunder1957]

Hier https://feedbackportal.microsoft.com/fe ... 22481f8472 könnte man auch ein Feedback abgeben. Ich selbst nutze den in Edge integrierten für Feedback, da kann man gleich einen Screen der Seite einfügen.

[GwenDragon]

Ich habe im Edge ein Feedback an MS geschrieben.

[Holunder1957]

Ich kenne mich nicht damit aus, vielleicht könnte man auch unter "Zertifikate verwalten" etwas machen?

[DK2000]

Das Problem dürfte sein, dass das alles in Chrome nicht implementiert ist und es daher auch im Edge nicht existiert. Mozilla hat das wohl irgendwie reingebastelt, weswegen man as aktivieren kann. Google hat da wohl im moment keine Pläne, das zu implementieren, so dass es vermutlich auch im Edge nicht gehen wird. Wenn ich das so richtig verstanden habe.

[GwenDragon]

Ich werde von solchen Mechanismen wie Client-Zertifikaten über SSL abstand nehmen, und Leuten Firefox empfehlen oder wenn es um ihren Server geht, eine andere Authentifizeirung.

Da HTTP/1.1 sowieso bald von HTTP/2 bzw. HTTP/3 abgelöst wird, sind dann Client-Zertifikate eh obsolet.
Und es ist auch nicht absehbar, dass Google da was noch ändern will in der TLS-Behandlung mit Client-Zertifikaten.

Muss ich halt dem Kunden im Vorfeld sagen, dass es nicht geht, oder nur intern im LAN leicht unsicherer mit TLS 1.2.

Für mich ist das Thema ungelöst, aber trotzdem abgeschlossen, weil nicht anders machbar.

Frage: Edge Canary und Client-Zertifikate – geht das?
Antwort: Nein, nicht mit modernen Protokollen.