Сертифікату не довіряють, оскільки не надано ланцюга емітентів


17

Чи може хтось пояснити значення цього повідомлення про помилку простою англійською мовою ?

Повинен чи я додати виключення або я НЕ продовжувати на цьому сайті?

Технічні деталі: URL-адреса тут , браузер Firefox 14.0.1 на Ubuntu 12.04 LTS.

Konqueror 4.8.2 говорить про те ж посилання:
Сертифікат органу сертифікації недійсний
Сертифікат кореневого сертифіката не довіряється для цієї мети


ОНОВЛЕННЯ: Я нічого не робив зі своїм браузером і тепер він магічно працює, жодного повідомлення про помилку. Загадка.


Якщо хтось дивиться на це з точки зору sysadmin: serverfault.com/questions/532262/… містить корисну інформацію.
fifi finance

Відповіді:


14

Схоже, вам не вистачає проміжного CA (сертифікаційного органу).

Сертифікати довіряють лише тому, що вони підписуються довіреним органом сертифікатів (емітентом), який, у свою чергу, підписується іншим довіреним ЦС, аж до тих, які перераховані як явно довірені тим, хто їх перевіряє (кореневий СА). Браузери (і ОС) постачаються зі списком кореневих ЦО. Дивіться тут для більш детальної інформації. У Вікіпедії також є дуже приємне пояснення майже кожного аспекту.

З'являється сертифікат веб-сайту із зазначенням AlphaSSLйого емітента, що в свою чергу вказує GlobalSign Root CA. Отже, це ланцюжок - сертифікат веб-сайту ніде не згадується, GlobalSign Root CAтому якщо будь-який із двох ланцюгів відсутній, Firefox скаржиться.

Скріншот сертифіката


Чи можете ви переконатися, що GlobalSign / AlphaSSL існує у вашому списку сертифікатів Firefox?

  1. Відкрийте диспетчер сертифікатів ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. Перевірте на Authoritiesвкладці AlphaSSL CA - G2. Це повинно бути під GlobalSign nv-sa.

    Також перевірте GlobalSign Root CA.

    Знімок екрана менеджера сертифікатів

  3. Виберіть GlobalSign Root CA, клацніть Edit Trustта перевірте, чи дозволено ідентифікувати веб-сайти. Принаймні для мене AlphaSSL не мав цього дозволу.


Якщо кореневих ЦС відсутні, спробуйте скинути сховище сертифікатів . В принципі, видалити (або перейменувати) cert8.db, secmode.dbі cert_override.txtз вашої папки профілю .

Якщо проміжний сертифікат відсутній, ну, це обов'язок оператора сервера обслуговувати проміжний сертифікат разом із коренем. Ви повинні зв’язатися з ними та повідомити їх. Якщо ви хочете, ви можете взяти проміжний сертифікат деінде - ці сайти іноді працюють для деяких людей, оскільки вони мають кешований проміжний продукт, якому вже довіряють.


Ви також можете спробувати очистити кеш-пам'ять у Firefox.


Це також може бути проблемою, коли ЦС відсутня у ваших системних магазинах, що пояснить, чому також впливає Konqueror. Я знаю, що принаймні в Windows Firefox ігнорує сховище сертифікатів системи. Я не знайомий з тим, як Ubuntu (або Firefox в Ubuntu) управляє сертифікатами, але проблема та сама: у вас, здається, не вистачає ЦА. Вам потрібно буде додати його.

Можна також додати сертифікат сайту до списку винятків. Оскільки вам не вистачає ЦА, є ймовірність, що інші веб-сайти відобразять подібну помилку - єдина причина, щоб не додавати ЦС, якщо ви не довіряєте їм. Сертифікат цього сайту, здається, дійсний, принаймні згідно з моєю системою (хоча ЦА можуть відкликати сертифікати). Звичайно, якщо ви не зможете якось підтвердити сертифікат як дійсний, не додайте винятку .


Дякую, мені здається, ми близькі до рішення. «Перевірка на вкладці Authorities для AlphaSSL CA - G2 Це повинно бути під GlobalSign Nv-са». Це НЕ є. Що я повинен зробити?
Алі

@Ali Спочатку спробуйте скинути сховище сертифікатів. Якщо це не працює, перевірте, чи GlobalSign Root CAє. Ви можете спробувати встановити CA з сайту AlphaSSL (конкретно, за цим посиланням crt DER format). Вони кажуть, що це слід встановити на веб-сервері, і його не потрібно встановлювати вручну на клієнтській машині, тому, можливо, хтось, хто працює на цьому сервері, щось забув.
Боб

Майте на увазі, що ви повинні бути впевнені, що можете довіряти сертифікату / CA перед тим, як додати його до свого списку довіри. Особливо у випадку з ЦА, оскільки ви неявно довіряєте будь-якому виданому їм сертифікату.
Боб

Вибачте, що не змогли вчасно повернутися до вас, я переїжджаю, отже, нове замовлення підключення до Інтернету на UPC :)
Алі

1
@ x-yuri Клацніть на символі блокування в адресному рядку => Більше інформації => Переглянути сертифікат. Якщо ви знаходилися на непідтвердженій сторінці з’єднання, натисніть I Understand The Risks => Add Exception та натисніть кнопку View у спливаючому вікні.
Боб

5

Деякі захищені веб-сайти із сертифікатами довірених органів мають неправильну конфігурацію, так що вони не містять ланцюжок проміжних сертифікатів довіри під час обслуговування власного сертифіката.

Якщо у вас є система / браузер, який бачив свою частку дійсних сертифікатів, такі посередники вже можуть бути кешовані, і ви не отримаєте жодних повідомлень про помилки, навіть якщо їх конфігурація веб-сервера все-таки помиляється, як зазначено вище.

Однак якщо ви використовуєте щойно встановлений браузер у свіжій системі, і такі посередники ще не були кешовані, а в сертифікаті, представленому веб-сервером, відсутній відповідний ланцюжок посередників, то ви отримуєте повідомлення про помилку.

Ось офіційне пояснення розробника Mozilla у списку розсилки Mozilla.org:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

Підсумок: це вина веб-сайту, навіть якщо це відбувається лише у вашому щойно встановленому веб-переглядачі, і працює добре в іншому місці.


Як вони виправили це простою англійською мовою:

Вони придбали свій сертифікат у продавця довіри, і їх веб-сервер, мабуть, обслуговував лише один сертифікат - власний - якому ваш браузер не довіряє безпосередньо, оскільки він купував його у реселлера, про який ви ніколи не чули.

Тепер, замість того, щоб обслуговувати лише один сертифікат, вони обслуговують одночасно два права - власний ("* .upc.biz") та сертифікат деякого реселера сертифікатів ("AlphaSSL CA - G2") та сертифікат такого посередника завершує довіру, оскільки тепер ви бачите, що той, кому ви довіряєте ("GlobalSign Root CA") поручився на такого реселлера довіри.

Більше подробиць про точні імена, які ви можете тут

http://www.digicert.com/help/?host=web.upc.biz

Деякі інші веб-сайти купують свої сертифікати безпосередньо у надійного органу, а не у торговельного посередника, тому їм потрібно лише обслуговувати свій власний сертифікат, і все ще залишатиметься підказками.

Наприклад, linode.com купував їх сертифікат безпосередньо у Equifax, якому Mozilla довіряє безпосередньо, тому немає необхідності в Linode додавати будь-які копії будь-яких сертифікатів, крім власних.


1

Чи може хтось пояснити значення цього повідомлення про помилку простою англійською мовою?

upc.biz хоче, щоб ви ввели особисті дані

Щоб запевнити вас, що upc.biz - це веб-сайт, яким керує UPC, upc.biz подав вам сертифікат, в якому сказано, що "Ви можете довіряти upc.biz, я поручаю їх", підписав Джо Сміт.

Ви не маєте поняття, хто такий Джо Сміт. У вас є список підписів людей, за якими Microsoft Проект Mozilla говорить, що ви, напевно, можете довірити вас, щоб познайомити вас з іншими людьми, які, ймовірно, є тими, кого вони говорять, що є, Джо Сміт не в цьому списку підписів (Сертифікуючі органи).

Тому сертифікат нічим не вартий


Ви можете перевірити це, вирізавши повну URL-адресу upc.biz і вставивши її в тестер сертифікатів за адресою http://www.digicert.com/help/ - хоча це спрямовано на людей, які встановлюють сертифікати на таких сайтах, як upc.biz , не для людей, які відвідують ці сайти.


Крім того, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html - це добре прочитане.


Microsoft тут не задіяний;)
Боб
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.