Сертификат не является доверенным, потому что не была предоставлена ​​цепочка эмитента.


17

Может ли кто-нибудь объяснить значение этого сообщения об ошибке на простом английском языке ?

Должен ли я добавить исключение или я не должен продолжать на этом сайте?

Технические подробности: URL здесь , браузер Firefox 14.0.1 на Ubuntu 12.04 LTS.

Konqueror 4.8.2 сообщает для той же ссылки:
сертификат центра сертификации недействителен
. Сертификат корневого центра сертификации не является доверенным для этой цели.


ОБНОВЛЕНИЕ: я ничего не делал с моим браузером, и теперь он волшебным образом работает, никаких сообщений об ошибках. Загадка.


Если кто-то смотрит на это с точки зрения системного администратора: serverfault.com/questions/532262/… содержит полезную информацию.
fifi finance

Ответы:


14

Похоже, вам не хватает промежуточного центра сертификации (центра сертификации).

Сертификаты являются доверенными только потому, что они подписаны доверенным центром сертификации (эмитентом), который, в свою очередь, подписан другим доверенным ЦС, вплоть до тех, которые перечислены как явно доверенные тем, кто их проверяет (корневой ЦС). Браузеры (и ОС) поставляются со списком корневых ЦС. Смотрите здесь для более подробной информации. В Википедии также есть очень хорошее объяснение почти каждого аспекта.

Сертификат веб-сайта указывается в AlphaSSLкачестве его эмитента, который, в свою очередь, указывает GlobalSign Root CA. Так что это цепочка - сертификат сайта нигде не упоминается, GlobalSign Root CAпоэтому если один из двух в цепочке отсутствует, Firefox будет жаловаться.

Скриншот сертификата


Не могли бы вы подтвердить, что GlobalSign / AlphaSSL существует в вашем списке центров сертификации Firefox?

  1. Откройте диспетчер сертификатов ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. Проверьте на Authoritiesвкладке для AlphaSSL CA - G2. Это должно быть под GlobalSign nv-sa.

    Также проверьте GlobalSign Root CA.

    Снимок экрана менеджера сертификатов

  3. Выберите GlobalSign Root CA, нажмите Edit Trustи убедитесь, что разрешено идентифицировать веб-сайты. По крайней мере, у меня AlphaSSL не было такого разрешения.


Если корневые центры сертификации отсутствуют, попробуйте сбросить хранилище сертификатов . В принципе, удалить (или переименовать) cert8.db, secmode.dbи cert_override.txtиз вашей папки профиля .

Если промежуточный сертификат отсутствует, то оператор сервера должен обслуживать промежуточный сертификат вместе с корневым. Вы должны связаться с ними и дать им знать. Если вы хотите, вы можете получить промежуточный сертификат в другом месте - эти сайты иногда работают для некоторых людей, потому что у них есть кэшированный промежуточный сертификат, которому уже доверяют.


Вы также можете попробовать очистить кеш в Firefox.


Это также может быть причиной отсутствия CA в ваших системных хранилищах, что объясняет, почему Konqueror также подвержен этой уязвимости. Я знаю, что, по крайней мере в Windows, Firefox игнорирует хранилище сертификатов системы. Я не знаком с тем, как Ubuntu (или Firefox в Ubuntu) управляет сертификатами, но проблема та же: у вас, похоже, отсутствует CA. Вам нужно будет добавить это.

Кроме того, вы можете добавить сертификат сайта в список исключений. Поскольку у вас отсутствует ЦС, существует вероятность того, что другие сайты отобразят аналогичную ошибку - единственная причина не добавлять ЦС - это если вы им не доверяете. Сертификат этого сайта кажется действительным, по крайней мере, в соответствии с моей системой (хотя центры сертификации могут отзывать сертификаты). Конечно, если вы не можете каким-либо образом проверить действующий сертификат, не добавляйте исключение .


Спасибо, мне кажется, мы близки к решению. «Проверка на вкладке Authorities для AlphaSSL CA - G2 Это должно быть под GlobalSign Nv-са». Это не есть. Что я должен делать?
Али

@ Али Сначала попробуйте сбросить хранилище сертификатов. Если это не работает, проверьте, есть ли GlobalSign Root CAтам. Вы можете попробовать установить CA с сайта AlphaSSL (в частности, по этой ссылке crt DER format). Они говорят, что это должно быть установлено на веб-сервере, и его не нужно устанавливать вручную на клиентском компьютере, так что возможно, кто бы ни работал на этом сервере, что-то забыл.
Боб

Имейте в виду, что вы должны быть уверены, что можете доверять сертификату / ЦС, прежде чем добавлять его в свой список доверенных. Особенно в случае CA, поскольку вы неявно доверяете любому сертификату, который они выпускают.
Боб

Извините, я не смог вернуться к вам своевременно, я переехал, отсюда новый порядок подключения к Интернету в UPC :)
Али

1
@ x-yuri Нажмите символ замка в адресной строке => Дополнительная информация => Просмотреть сертификат. Если вы были на ненадежной странице подключения, нажмите «Я понимаю риски»> «Добавить исключение» и нажмите «Просмотреть» во всплывающем окне.
Боб

5

Некоторые защищенные веб-сайты с сертификатами от доверенных органов имеют неправильную конфигурацию, так что они не включают цепочку промежуточных сертификатов доверия при обслуживании своего собственного сертификата.

Если у вас есть система / браузер, который видел свою долю действительных сертификатов, такие посредники уже могут быть кэшированы, и вы не будете получать никаких сообщений об ошибках, даже если их конфигурация веб-сервера все еще неверна, как указано выше.

Однако, если вы используете только что установленный браузер в новой системе, и такие посредники еще не были кэшированы, а в сертификате, представленном веб-сервером, отсутствует соответствующая цепочка посредников, вы получите сообщение об ошибке.

Вот официальное объяснение разработчика Mozilla в списке рассылки Mozilla.org:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

Итог: это вина веб-сайта, даже если это происходит только в вашем недавно установленном браузере и отлично работает в других местах.


Как они исправили это простым языком:

Они купили свой сертификат у торгового посредника, и их веб-сервер должен был обслуживать только один сертификат - свой собственный - которому ваш браузер не доверяет напрямую, поскольку они купили его у торгового посредника, о котором вы никогда не слышали.

Теперь, вместо того, чтобы обслуживать только один сертификат, они одновременно обслуживают два - свой ("* .upc.biz") и сертификат какого-либо реселлера сертификата ("AlphaSSL CA - G2"), а также сертификат такого реселлера. Доверие завершается, поскольку теперь вы видите, что кто-то, кому вы доверяете («GlobalSign Root CA»), поручился за такого посредника доверия.

Вы можете увидеть более подробную информацию о точных именах здесь:

http://www.digicert.com/help/?host=web.upc.biz

Некоторые другие веб-сайты покупают свои сертификаты непосредственно у доверенного органа, а не у реселлера, поэтому им нужно только обслуживать собственный сертификат, и все будет по-прежнему на переднем плане.

Например, linode.com купил их сертификат непосредственно у Equifax, которому Mozilla доверяет напрямую, поэтому нет необходимости в том, чтобы Linode включал какие-либо копии любых сертификатов, кроме их собственных.


1

Может ли кто-нибудь объяснить значение этого сообщения об ошибке на простом английском языке?

upc.biz хочет, чтобы вы указали личные данные

Чтобы заверить вас, что upc.biz - это веб-сайт, которым управляет UPC, upc.biz предоставил вам сертификат с надписью «Вы можете доверять upc.biz, я ручаюсь за них», подписанный Джо Смитом.

Вы понятия не имеете, кто такой Джо Смит. У вас есть список подписей людей, о которых Microsoft Проект Mozilla говорит, что вы, вероятно, можете доверять, чтобы познакомить вас с другими людьми, которые, вероятно, являются теми, кем, как они себя называют, Джо Смита нет в этом списке подписей (Удостоверяющие органы).

Поэтому сертификат бесполезен


Вы можете проверить это, вырезав полный URL-адрес upc.biz и вставив его в тестер сертификатов по адресу http://www.digicert.com/help/, хотя он предназначен для людей, которые устанавливают сертификаты на таких сайтах, как upc.biz. не на людей, которые получают доступ к этим сайтам.


Кроме того, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html является хорошим чтением.


Microsoft здесь не участвует;)
Боб
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.