Czy ktoś mógłby wyjaśnić znaczenie tego komunikatu o błędzie zwykłym angielskim ?
Dodam wyjątek czy powinienem nie kontynuować na tej stronie?
Szczegóły techniczne: adres URL jest tutaj , przeglądarka to Firefox 14.0.1 na Ubuntu 12.04 LTS.
Konqueror 4.8.2 mówi o tym samym łączu:
Certyfikat ośrodka certyfikacji jest nieprawidłowy
Certyfikat głównego ośrodka certyfikacji nie jest zaufany w tym celu
AKTUALIZACJA: Nie zrobiłem nic z moją przeglądarką i teraz działa magicznie, bez komunikatu o błędzie. Tajemnica.
Odpowiedzi:
Wygląda na to, że brakuje pośredniego urzędu certyfikacji.
Certyfikaty są zaufane tylko dlatego, że są podpisane przez zaufany urząd certyfikacji (wystawcę), który z kolei jest podpisany przez inny zaufany urząd certyfikacji, aż do tych wymienionych jako wyraźnie zaufane przez to, co je weryfikuje (główny urząd certyfikacji). Przeglądarki (i systemy operacyjne) zawierają listę głównych urzędów certyfikacji. Zobacz tutaj po więcej szczegółów. Wikipedia ma również bardzo ładne wyjaśnienie niemal każdego aspektu.
Certyfikat strony wydaje się określać
AlphaSSL
jako wystawcę, co z kolei określaGlobalSign Root CA
. Więc to jest łańcuch - certyfikat witryny nigdzie nie wspomina,GlobalSign Root CA
więc jeśli brakuje jednego z dwóch łańcuchów, Firefox narzeka.Czy możesz sprawdzić, czy GlobalSign / AlphaSSL istnieje na liście urzędów certyfikacji Firefox?
Otwórz Menedżera certyfikatów (
Tools
=>Options
=>Advanced
=>Encryption
=>View Certificates
)Sprawdź w
Authorities
zakładce, czyAlphaSSL CA - G2
. Powinno być poniżejGlobalSign nv-sa
.Sprawdź także
GlobalSign Root CA
.Wybierz
GlobalSign Root CA
, kliknijEdit Trust
i sprawdź, czy dozwolone jest identyfikowanie stron internetowych. Przynajmniej dla mnie AlphaSSL nie miał tego pozwolenia.Jeśli brakuje głównych urzędów certyfikacji, spróbuj zresetować magazyn certyfikatów . Zasadniczo, usunąć (lub zmienić nazwę)
cert8.db
,secmode.db
acert_override.txt
z katalogu profilu .Jeśli brakuje certyfikatu pośredniego, operator serwera jest odpowiedzialny za dostarczenie certyfikatu pośredniego wraz z katalogiem głównym. Powinieneś skontaktować się z nimi i dać im znać. Jeśli chcesz, możesz zdobyć certyfikat pośredni w innym miejscu - te strony czasami działają dla niektórych osób, ponieważ mają buforowany pośredni, który jest już zaufany.
Możesz także spróbować wyczyścić pamięć podręczną w przeglądarce Firefox.
Może to być również problem z brakiem urzędu certyfikacji w sklepach systemowych, co wyjaśniałoby, dlaczego dotyczy to również Konquerora. Wiem, że przynajmniej w systemie Windows Firefox ignoruje magazyn certyfikatów systemu. Nie wiem, jak Ubuntu (lub Firefox na Ubuntu) zarządza certyfikatami, ale problem jest taki sam: wydaje się, że brakuje urzędu certyfikacji. Musisz go dodać.
Alternatywnie możesz dodać certyfikat witryny do listy wyjątków. Ponieważ brakuje urzędu certyfikacji, istnieje prawdopodobieństwo, że inne witryny wyświetlą podobny błąd - jedynym powodem, dla którego nie należy dodawać urzędu certyfikacji, jest brak zaufania do nich. Certyfikat tej witryny wydaje się być prawidłowy, przynajmniej zgodnie z moim systemem (chociaż urzędy certyfikacji mogą odwoływać certyfikaty). Oczywiście, chyba że możesz w jakiś sposób zweryfikować certyfikat jako ważny, nie dodawaj wyjątku .
źródło
GlobalSign Root CA
jest. Możesz spróbować zainstalować urząd certyfikacji z witryny AlphaSSL (w szczególności ten linkcrt DER format
). Mówią, że powinien on zostać zainstalowany na serwerze WWW i nie musi być instalowany ręcznie na komputerze klienckim, więc możliwe jest, że ktokolwiek uruchamia ten serwer, zapomniał o czymś.Niektóre bezpieczne witryny internetowe z certyfikatami od zaufanych organów mają niepoprawną konfigurację, dlatego nie obsługują łańcucha pośrednich certyfikatów zaufania podczas obsługi własnego certyfikatu.
Jeśli masz system / przeglądarkę, która widziała udział ważnych certyfikatów, tacy pośrednicy mogą już być buforowani i nie będziesz otrzymywać żadnych komunikatów o błędach, nawet jeśli ich konfiguracja serwera WWW jest nadal nieprawidłowa, jak powyżej.
Jeśli jednak używasz świeżo zainstalowanej przeglądarki w nowym systemie, a tacy pośrednicy nie byli jeszcze buforowani, a certyfikatowi prezentowanemu przez serwer internetowy brakuje odpowiedniego łańcucha pośredników, pojawia się komunikat o błędzie.
Oto oficjalne wyjaśnienie autora Mozilli na liście mailingowej Mozilla.org:
http://www.mail-archive.com/[email protected]/msg02155.html
Podsumowując: jest to wina strony internetowej, nawet jeśli dzieje się to tylko w świeżo zainstalowanej przeglądarce i działa dobrze gdzie indziej.
Jak naprawili to zwykłym angielskim:
Kupili swój certyfikat od zaufanego sprzedawcy, a jego serwer internetowy musiał obsługiwać tylko jeden certyfikat - własny - którego Twoja przeglądarka nie ufa bezpośrednio, ponieważ kupili go od sprzedawcy, o którym nigdy nie słyszałeś.
Teraz, zamiast obsługiwać tylko jeden certyfikat, obsługują dwa jednocześnie - własny („* .upc.biz”) i certyfikat jakiegoś odsprzedawcy certyfikatów („AlphaSSL CA - G2”) oraz certyfikat takiego odsprzedawcy uzupełnia zaufanie, ponieważ teraz widzisz, że osoba, której ufasz („GlobalSign Root CA”), poręczyła za takiego odsprzedawcę zaufania.
Możesz zobaczyć więcej szczegółowych informacji o dokładnych nazwach tutaj:
http://www.digicert.com/help/?host=web.upc.biz
Niektóre inne strony internetowe kupują swoje certyfikaty bezpośrednio od zaufanego urzędu, a nie od sprzedawcy, więc muszą tylko podać swój certyfikat, a wszystko nadal będzie na topie.
Na przykład linode.com kupił swój certyfikat bezpośrednio od Equifax, któremu Mozilla ufa bezpośrednio, więc Linode nie musi dołączać żadnych kopii certyfikatów innych niż własne.
źródło
upc.biz chce, abyś wpisał dane osobowe
Aby cię uspokoić, że upc.biz to strona internetowa prowadzona przez UPC, upc.biz przedstawił ci certyfikat zatytułowany „możesz zaufać upc.biz, gwarantuję za nich” podpisał Joe Smith.
Nie masz pojęcia, kim jest Joe Smith. Masz listę podpisów osób, które
MicrosoftProjekt Mozilla mówi, że prawdopodobnie możesz zaufać, aby przedstawić Cię innym osobom, które prawdopodobnie są tym, za kogo się podają, Joe Smith nie znajduje się na tej liście podpisów (urzędy certyfikujące).Certyfikat jest zatem bezwartościowy
Możesz to przetestować, wycinając pełny adres URL upc.biz i wklejając go do testera certyfikatów pod adresem http://www.digicert.com/help/ - chociaż jest to skierowane do osób, które konfigurują certyfikaty w witrynach takich jak upc.biz , nie u osób, które uzyskują dostęp do tych witryn.
Również http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html to dobra lektura.
źródło