Certyfikat nie jest zaufany, ponieważ nie podano łańcucha wydawcy

17

Czy ktoś mógłby wyjaśnić znaczenie tego komunikatu o błędzie zwykłym angielskim ?

Dodam wyjątek czy powinienem nie kontynuować na tej stronie?

Szczegóły techniczne: adres URL jest tutaj , przeglądarka to Firefox 14.0.1 na Ubuntu 12.04 LTS.

Konqueror 4.8.2 mówi o tym samym łączu:
Certyfikat ośrodka certyfikacji jest nieprawidłowy
Certyfikat głównego ośrodka certyfikacji nie jest zaufany w tym celu


AKTUALIZACJA: Nie zrobiłem nic z moją przeglądarką i teraz działa magicznie, bez komunikatu o błędzie. Tajemnica.

Ali
źródło
Jeśli ktoś patrzy na to z perspektywy sysadmin: serverfault.com/questions/532262/… zawiera przydatne informacje.
finanse fifi

Odpowiedzi:

14

Wygląda na to, że brakuje pośredniego urzędu certyfikacji.

Certyfikaty są zaufane tylko dlatego, że są podpisane przez zaufany urząd certyfikacji (wystawcę), który z kolei jest podpisany przez inny zaufany urząd certyfikacji, aż do tych wymienionych jako wyraźnie zaufane przez to, co je weryfikuje (główny urząd certyfikacji). Przeglądarki (i systemy operacyjne) zawierają listę głównych urzędów certyfikacji. Zobacz tutaj po więcej szczegółów. Wikipedia ma również bardzo ładne wyjaśnienie niemal każdego aspektu.

Certyfikat strony wydaje się określać AlphaSSLjako wystawcę, co z kolei określa GlobalSign Root CA. Więc to jest łańcuch - certyfikat witryny nigdzie nie wspomina, GlobalSign Root CAwięc jeśli brakuje jednego z dwóch łańcuchów, Firefox narzeka.

Zrzut ekranu certyfikatu


Czy możesz sprawdzić, czy GlobalSign / AlphaSSL istnieje na liście urzędów certyfikacji Firefox?

  1. Otwórz Menedżera certyfikatów ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. Sprawdź w Authoritieszakładce, czy AlphaSSL CA - G2. Powinno być poniżej GlobalSign nv-sa.

    Sprawdź także GlobalSign Root CA.

    Zrzut ekranu menedżera certyfikatów

  3. Wybierz GlobalSign Root CA, kliknij Edit Trusti sprawdź, czy dozwolone jest identyfikowanie stron internetowych. Przynajmniej dla mnie AlphaSSL nie miał tego pozwolenia.


Jeśli brakuje głównych urzędów certyfikacji, spróbuj zresetować magazyn certyfikatów . Zasadniczo, usunąć (lub zmienić nazwę) cert8.db, secmode.dba cert_override.txtz katalogu profilu .

Jeśli brakuje certyfikatu pośredniego, operator serwera jest odpowiedzialny za dostarczenie certyfikatu pośredniego wraz z katalogiem głównym. Powinieneś skontaktować się z nimi i dać im znać. Jeśli chcesz, możesz zdobyć certyfikat pośredni w innym miejscu - te strony czasami działają dla niektórych osób, ponieważ mają buforowany pośredni, który jest już zaufany.


Możesz także spróbować wyczyścić pamięć podręczną w przeglądarce Firefox.


Może to być również problem z brakiem urzędu certyfikacji w sklepach systemowych, co wyjaśniałoby, dlaczego dotyczy to również Konquerora. Wiem, że przynajmniej w systemie Windows Firefox ignoruje magazyn certyfikatów systemu. Nie wiem, jak Ubuntu (lub Firefox na Ubuntu) zarządza certyfikatami, ale problem jest taki sam: wydaje się, że brakuje urzędu certyfikacji. Musisz go dodać.

Alternatywnie możesz dodać certyfikat witryny do listy wyjątków. Ponieważ brakuje urzędu certyfikacji, istnieje prawdopodobieństwo, że inne witryny wyświetlą podobny błąd - jedynym powodem, dla którego nie należy dodawać urzędu certyfikacji, jest brak zaufania do nich. Certyfikat tej witryny wydaje się być prawidłowy, przynajmniej zgodnie z moim systemem (chociaż urzędy certyfikacji mogą odwoływać certyfikaty). Oczywiście, chyba że możesz w jakiś sposób zweryfikować certyfikat jako ważny, nie dodawaj wyjątku .

Kok
źródło
Dzięki, wydaje mi się, że jesteśmy blisko rozwiązania. „Sprawdź na karcie Urzędy dla AlphaSSL CA - G2. Powinien być pod GlobalSign nv-sa”. Nie ma go . Co powinienem zrobić?
Ali
@Ali Najpierw spróbuj zresetować magazyn certyfikatów. Jeśli to nie zadziała, sprawdź, czy GlobalSign Root CAjest. Możesz spróbować zainstalować urząd certyfikacji z witryny AlphaSSL (w szczególności ten link crt DER format). Mówią, że powinien on zostać zainstalowany na serwerze WWW i nie musi być instalowany ręcznie na komputerze klienckim, więc możliwe jest, że ktokolwiek uruchamia ten serwer, zapomniał o czymś.
Bob
Pamiętaj, że musisz upewnić się, że możesz zaufać certyfikatowi / urzędowi certyfikacji przed dodaniem go do listy zaufanych. Zwłaszcza w przypadku urzędu certyfikacji, ponieważ domyślnie ufasz każdemu certyfikatowi, który wystawiają.
Bob
Przepraszam, że nie mogłem wrócić do ciebie w odpowiednim czasie, przeprowadziłem się, stąd nowe zamówienie połączenia internetowego w UPC :)
Ali,
1
@ x-yuri Kliknij symbol kłódki na pasku adresu => Więcej informacji => Wyświetl certyfikat. Jeśli byłeś na stronie niezaufanej połączenia, kliknij I Rozumiem ryzyko => Dodaj wyjątek i kliknij Wyświetl w wyskakującym okienku.
Bob
5

Niektóre bezpieczne witryny internetowe z certyfikatami od zaufanych organów mają niepoprawną konfigurację, dlatego nie obsługują łańcucha pośrednich certyfikatów zaufania podczas obsługi własnego certyfikatu.

Jeśli masz system / przeglądarkę, która widziała udział ważnych certyfikatów, tacy pośrednicy mogą już być buforowani i nie będziesz otrzymywać żadnych komunikatów o błędach, nawet jeśli ich konfiguracja serwera WWW jest nadal nieprawidłowa, jak powyżej.

Jeśli jednak używasz świeżo zainstalowanej przeglądarki w nowym systemie, a tacy pośrednicy nie byli jeszcze buforowani, a certyfikatowi prezentowanemu przez serwer internetowy brakuje odpowiedniego łańcucha pośredników, pojawia się komunikat o błędzie.

Oto oficjalne wyjaśnienie autora Mozilli na liście mailingowej Mozilla.org:

http://www.mail-archive.com/[email protected]/msg02155.html

Podsumowując: jest to wina strony internetowej, nawet jeśli dzieje się to tylko w świeżo zainstalowanej przeglądarce i działa dobrze gdzie indziej.


Jak naprawili to zwykłym angielskim:

Kupili swój certyfikat od zaufanego sprzedawcy, a jego serwer internetowy musiał obsługiwać tylko jeden certyfikat - własny - którego Twoja przeglądarka nie ufa bezpośrednio, ponieważ kupili go od sprzedawcy, o którym nigdy nie słyszałeś.

Teraz, zamiast obsługiwać tylko jeden certyfikat, obsługują dwa jednocześnie - własny („* .upc.biz”) i certyfikat jakiegoś odsprzedawcy certyfikatów („AlphaSSL CA - G2”) oraz certyfikat takiego odsprzedawcy uzupełnia zaufanie, ponieważ teraz widzisz, że osoba, której ufasz („GlobalSign Root CA”), poręczyła za takiego odsprzedawcę zaufania.

Możesz zobaczyć więcej szczegółowych informacji o dokładnych nazwach tutaj:

http://www.digicert.com/help/?host=web.upc.biz

Niektóre inne strony internetowe kupują swoje certyfikaty bezpośrednio od zaufanego urzędu, a nie od sprzedawcy, więc muszą tylko podać swój certyfikat, a wszystko nadal będzie na topie.

Na przykład linode.com kupił swój certyfikat bezpośrednio od Equifax, któremu Mozilla ufa bezpośrednio, więc Linode nie musi dołączać żadnych kopii certyfikatów innych niż własne.

cnst
źródło
1

Czy ktoś mógłby wyjaśnić znaczenie tego komunikatu o błędzie zwykłym angielskim?

upc.biz chce, abyś wpisał dane osobowe

Aby cię uspokoić, że upc.biz to strona internetowa prowadzona przez UPC, upc.biz przedstawił ci certyfikat zatytułowany „możesz zaufać upc.biz, gwarantuję za nich” podpisał Joe Smith.

Nie masz pojęcia, kim jest Joe Smith. Masz listę podpisów osób, które Microsoft Projekt Mozilla mówi, że prawdopodobnie możesz zaufać, aby przedstawić Cię innym osobom, które prawdopodobnie są tym, za kogo się podają, Joe Smith nie znajduje się na tej liście podpisów (urzędy certyfikujące).

Certyfikat jest zatem bezwartościowy


Możesz to przetestować, wycinając pełny adres URL upc.biz i wklejając go do testera certyfikatów pod adresem http://www.digicert.com/help/ - chociaż jest to skierowane do osób, które konfigurują certyfikaty w witrynach takich jak upc.biz , nie u osób, które uzyskują dostęp do tych witryn.


Również http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html to dobra lektura.

RedGrittyBrick
źródło
Microsoft nie jest tutaj zaangażowany;)
Bob