Ho difficoltà a utilizzare un certificato X.509 per eseguire l'autenticazione client da Safari (9.0.1, come OS X 10.10.5).
Il sintomo è che vado su un sito https://...
che esegue il controllo dei certificati client, ma Safari sembra semplicemente sospeso come se fosse in attesa da una risposta dal server. Nella console degli errori riporta Failed to load resource: cancelled
(e su uno dei server con cui ho provato questo, su cui ho il controllo, i registri rilevanti riportano che il browser sembra aver interrotto bruscamente la connessione - non c'è altra indicazione lì di un protocollo botch).
Il certificato è valido e ha una buona firma della CA, come verificato da openssl
, e dal fatto che funziona come previsto con Firefox, Chrome e curl
. Tieni presente che Chrome e OS X curl
utilizzano il portachiavi e Firefox non lo fa, quindi non vi è alcun fattore comune. Inoltre, OS X curl
è costruito rispetto a SecureTransport rispetto a OpenSSL, quindi credo che utilizzi la stessa libreria SSL di Safari (non conosco Chrome in questo senso).
Questo non è un problema lato server, perché altri che utilizzano la stessa versione di Safari possono ottenere lo stesso URL con certificati dalla stessa CA. Inoltre, posso collegarmi direttamente a quel sito utilizzando Chrome, che ovviamente utilizza anche WebKit e che utilizza lo stesso certificato, tramite il portachiavi.
La cosa più vicina a una diagnostica che riesco a trovare è che un messaggio appare nella console ogni volta che faccio questo, dicendo
2015-11-13 18:43:53.329 Keychain Access[1373]: SOSCCThisDeviceIsInCircle SOSCCThisDeviceIsInCircle!! 58
(il numero finale aumenta ogni volta).
Sono stato in grado di trovare nulla che riguardasse quella stringa, a parte passare le citazioni in alcuni post del forum chiaramente perplessi.
Ho provato a eliminare le preferenze di identità da Accesso Portachiavi senza successo, ho provato a eliminare certificati simili (scaduti) dal portachiavi e ho provato ad esportare l'eliminazione e la reimportazione del certificato pertinente; tutto senza effetto.
Sono perplesso! Qualcuno ha qualche suggerimento? Poiché questo sembra essere un problema specifico di Safari, ti sto chiedendo qui prima di provare sulla sicurezza SE.