Firefox-ESR: UNKNOWN_ISSUER bei offiziellem und gültigem Zertifikat von Sectigo

[cosinus]

Hi Leute,

mir ist aufgefallen, dass der aktuelle Firefox-ESR wohl gültige Zertifikate von Sectigo nicht mag. Ist das bekannt? Ist euch das schon aufgefallen? (Sofern jemand denn hier Sectigo nutzt)

[mludwig]

Hm, zumindest auf der Seite von denen bekomme ich keine Fehlermeldung mit Firefox ESR 115.7, die werden ja wohl die eigene CA für ihr Zertifikat benutzen?

Firefox bringt aber keine Intermediate CA mit, d.h. die muss der Server mit ausliefern.

[cosinus]

Firefox bringt aber keine Intermediate CA mit, d.h. die muss der Server mit ausliefern.

Der aktuelle Firefox hat aber nix zu meckern
Auch ein aktueller Chromium beschwert sich nicht.

[wanne]

Ohne Link wird das vermutlich nichts, das nachzuvollziehen. Nutze Sectigo selbst und habe keine Probleme.
Beachte auch, dass Firefox und Chrome validierungen Cachen. Wenn der Schlüssel gleich bleibt aber eine falsche Signatur drunter kommt meckert er nicht. Genau so wenn er ein intermediate zuvor auf einer anderen Seite gesehen hat. Da hilft in vielen Fällen nicht mal der private Modus. (Was dazu führt, dass man weiter tracken kann.)
Würde immer erst immer mit curl testen.

Der aktuelle Firefox hat aber nix zu meckern
Auch ein aktueller Chromium beschwert sich nicht.

Was meinst du mit Aktuell?

[cosinus]

Mit aktuell meine ich den Firefox 122 und Chromium Version 121.0.6167.139 (Official Build) built on Debian trixie/sid, running on Debian trixie/sid (64-bit)