Hoppa till innehåll

  • Logga in via Facebook Logga in via Twitter Logga in via Windows Live Log In with LinkedIn Log In with Google      Logga in   
  • Registrera dig nu!

Seg laddning av sajt om cert ligger i MY...

tls ssl certifikat ie

Den här tråden har blivit arkiverad. Det betyder att du inte kan skriva något inlägg i tråden.
7 svar i denna tråden

#1 Jonas

Jonas

  • 47 inlägg

Skriven 13 January 2014 - 15:51

Hej,

Nån som noterat detta (och hittat en lösning)?

Miljö
Windows 7 (x86/x64) (Har inte kunnat återskapa under W8)
MS Base CSP
Minidriver
IE x.x (t.ex. IE11)
Startsida => Nån http-sajt, t.ex. http://www.sunet.se
Favorit pekande på nån https-sajt, t.ex. https://www.google.se

Problem
1) Sätter i ett kort och MS CertProp kopierar certet/certen till MY
2) Behåller eller tar ut kortet, det viktiga är att certen ligger kvar i MY
3) Startar IE och t.ex. http://www.sunet.se laddas inom nån sekund
4) Klickar på favoriten som pekar på t.ex. https://www.google.se
5) Nu kan det ta upp till 40 sekunder innan Google laddas

Man kan i CAPI2-loggen se att inte ett jota händer förrän själva sidan laddas.
Då spärrkontrolleras sajtens servercert upp till roten (GeoTrust Global CA) inom 1-2 sekunder.
Först trodde vi det var Net iD CSP som bråkade men så icke. Helt tyst i trace och det blir samma fel även om MS Base CSP lagt dit certifikaten.
Har varit lite knivigt att återskapa det hela. Vissa W7 maskiner verkar helt enkelt inte drabbas.
Plockar man bort certen ur MY laddas https://www.google.se med den hastighet man är van.

Har testat följande utan att hitta ett samband (Googlat som en galning och testat "allt" som luktat samband)
- Olika kortläsardrivare
- Stängt av hårdvarurendrering i IE
- Stängt av Windows integrated i IE
- Stängt av IPv6

Med vänlig hälsning
/Jonas

#2 DXter

DXter

  • 6628 inlägg

Skriven 13 January 2014 - 16:43

Aldrig varit med om det beteendet någonsin!

Har ni provat på en "ren" dator utan NetID installerat?
// Fredrik "DXter" Jonsson
Senior Security Consultant - Identitry AB
Microsoft Enterprise Security MVP - ADCS (PKI) + ADFS (Federation)
Phone: +46 76 858 22 99

#3 Jonas

Jonas

  • 47 inlägg

Skriven 14 January 2014 - 10:23

Japp, det har jag testat => MS Base CSP + Gemalto Minidriver. (aldrig haft Net iD installerat på den kärran)
Delaytiden verkar bero på hur många certifikat som ligger i MY.
Med ett Gemalto IDPrime .NET 7.2.1 med två certifikat har jag en delay på 11-12 sekunder innan https://www.google.se börjar laddas
Raderar jag certifikaten från MY (men kortet kvar i läsaren) laddas sidan inom ett par sekunder.
=> Har man t.ex. SITHS-kort som har 4 certifikat så blir det en jäkla cirkus ute på sjukhusen.

/Jonas

#4 Jonas

Jonas

  • 47 inlägg

Skriven 14 January 2014 - 13:01

Testade nu att:
a) Gå mot lite olika https-sajter => Samma fenomen för alla
B) Lägga sajten i zonen "Trusted Sites" => Då laddas sidan blixtsnabbt även om jag har 10 cert i MY
Summa: Det är nåt slags djur begravet här, troligen i IE eller nåt underliggande.
(Misstänker att man kan råka missa delayen om man bara har ett cert i MY)


/Jonas

#5 Jonas

Jonas

  • 47 inlägg

Skriven 21 January 2014 - 17:44

Har kommit lite framåt nu tack vare procmon.exe:
Det visar sig att IE (i vissa lägen) försöker skapa registry-nycklar och filer på disk men får ACCESS DENIED.
I min trace-fil får jag 176 entries med ACCESS DENIED innan det släpper och sidan kan laddas.
(OBS, får felet med Microsofts CSP och Gemalto MD och samma fenomen visar sig om det t.ex. är Net iD som sköter certifikatspropageringen till mystore)

Se exempelbilder här:
https://service.secm...ownload/001.jpg
https://service.secm...ownload/002.jpg

Har aldrig ställt om några rättigheter på detta område så det är något lurt här... nu gäller det bara att sätta på fingret vad som triggar det... eftersom det inte sker varje gång


/Jonas

#6 Jonas

Jonas

  • 47 inlägg

Skriven 11 March 2014 - 14:29

Supportärendenummer hos Microsoft: 114022511214568

Återkommer när vi kommit vidare!

Med vänlig hälsning
/Jonas

#7 Jonas

Jonas

  • 47 inlägg

Skriven 28 April 2014 - 13:04

Äntligen finns lösningen!

http://support.micro...m/kb/2807971/sv

Med vänlig hälsning
/Jonas

#8 direktörn

direktörn

  • 4847 inlägg

Skriven 28 April 2014 - 13:41

Kul att det löste sig, även om det tog lite tid :(
// Anders