Il certificato non è attendibile perché non è stata fornita alcuna catena di emittenti


17

Qualcuno potrebbe spiegare il significato di questo messaggio di errore in un inglese semplice ?

Dovrei aggiungere un'eccezione o dovrei non continuare su questo sito?

Dettagli tecnici: l'URL è qui , il browser è Firefox 14.0.1 su Ubuntu 12.04 LTS.

Konqueror 4.8.2 dice per lo stesso collegamento:
il certificato dell'autorità di certificazione non è valido
Il certificato dell'autorità di certificazione principale non è attendibile a questo scopo


AGGIORNAMENTO: Non ho fatto nulla con il mio browser e ora funziona magicamente, nessun messaggio di errore. Un mistero.


Se qualcuno lo guarda da una prospettiva di amministratore di sistema: serverfault.com/questions/532262/… contiene informazioni utili.
finanziamento finanziario

Risposte:


14

Sembra che manchi una CA (Autorità di certificazione) intermedia.

I certificati sono attendibili solo perché sono firmati da un'autorità di certificazione attendibile (l'emittente), che a sua volta è firmata da un'altra autorità di certificazione attendibile, fino a quelli elencati come esplicitamente considerati attendibili da tutto ciò che li sta verificando (una CA di origine). I browser (e i SO) vengono forniti con un elenco di CA principali. Vedi qui per maggiori dettagli. Wikipedia ha anche una bella spiegazione di quasi ogni aspetto.

Il certificato del sito Web sembra specificare AlphaSSLcome emittente, che a sua volta specifica GlobalSign Root CA. Quindi questa è la catena: il certificato del sito Web non menziona da GlobalSign Root CAnessuna parte, quindi se manca una delle due nella catena, Firefox si lamenterà.

Schermata del certificato


Potresti verificare che GlobalSign / AlphaSSL sia presente nell'elenco delle autorità di certificazione di Firefox?

  1. Apri Gestione certificati ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. Controlla nella Authoritiesscheda per il AlphaSSL CA - G2. Dovrebbe essere sotto GlobalSign nv-sa.

    Controlla anche per GlobalSign Root CA.

    Schermata del gestore certificati

  3. Seleziona GlobalSign Root CA, fai clic Edit Truste verifica che sia consentito identificare i siti Web. Almeno per me, AlphaSSL non aveva questo permesso.


Se mancano le CA principali, provare a ripristinare l'archivio certificati . In sostanza, cancellare (o rinominare) cert8.db, secmode.dbe cert_override.txtdalla cartella del profilo .

Se manca il certificato intermedio, beh, è ​​responsabilità dell'operatore del server servire il certificato intermedio insieme al root. Dovresti contattarli e far loro sapere. Se vuoi, puoi ottenere il certificato intermedio altrove: questi siti a volte funzionano per alcune persone perché hanno un intermedio memorizzato nella cache che è già attendibile.


Potresti anche provare a svuotare la cache in Firefox.


Questo potrebbe anche essere un problema con la CA mancante nei tuoi archivi di sistema, il che spiegherebbe perché anche Konqueror è interessato. So che, almeno su Windows, Firefox ignora l'archivio certificati del sistema. Non ho familiarità con il modo in cui Ubuntu (o Firefox su Ubuntu) gestisce i certificati, ma il problema è lo stesso: sembra che manchi una CA. Dovrai aggiungerlo.

In alternativa, è possibile aggiungere il certificato del sito all'elenco delle eccezioni. Dal momento che ti manca una CA, è probabile che altri siti visualizzino un errore simile - l'unico motivo per non aggiungere la CA è se non ti fidi di loro. Il certificato di questo sito sembra essere valido, almeno secondo il mio sistema (anche se le autorità di certificazione possono revocare i certificati). Naturalmente, a meno che non sia possibile in qualche modo verificare un certificato come valido, non aggiungere un'eccezione .


Grazie, mi sembra che siamo vicini a una soluzione. "Controllare sulla scheda Autorità per l'AlphaSSL CA - G2 Dovrebbe essere sotto GlobalSign nv-sa." E ' non è lì. Cosa dovrei fare?
Ali,

@Ali Innanzitutto, prova a ripristinare l'archivio certificati. Se non funziona, controlla se GlobalSign Root CAc'è. Puoi provare a installare la CA dal sito AlphaSSL (in particolare, questo link crt DER format). Dicono che questo dovrebbe essere installato sul server web e non ha bisogno di essere installato manualmente sul computer client, quindi è possibile che chiunque abbia eseguito quel server abbia dimenticato qualcosa.
Bob,

Tenete a mente che si deve essere sicuri che si può fidare di un certificato / CA prima di aggiungerlo alla tua lista di fiducia. Soprattutto nel caso di una CA, dal momento che ti fidi implicitamente di qualsiasi certificato che emettono.
Bob,

Mi dispiace non poterti rispondere in modo tempestivo, mi sono trasferito, quindi il nuovo ordine di connessione Internet su UPC :)
Ali

1
@ x-yuri Fare clic sul simbolo del lucchetto nella barra degli indirizzi => Ulteriori informazioni => Visualizza certificato. Se ti trovavi nella pagina di connessione non attendibile, fai clic su Comprendo i rischi => Aggiungi eccezione e fai clic su Visualizza nel popup.
Bob,

5

Alcuni siti Web sicuri con certificati di autorità attendibili hanno una configurazione errata in modo tale da non includere una catena di certificati intermedi di fiducia quando servono il proprio certificato.

Se hai un sistema / browser che ha visto la sua quota di certificati validi, tali intermediari potrebbero già essere memorizzati nella cache e non riceverai alcun messaggio di errore, anche se la loro configurazione del server Web è ancora errata come sopra.

Tuttavia, se si utilizza un browser appena installato su un nuovo sistema e tali intermediari non sono ancora stati memorizzati nella cache e nel certificato presentato dal server Web manca una catena di intermediari appropriata, viene visualizzato un messaggio di errore.

Ecco una spiegazione ufficiale di uno sviluppatore Mozilla in una mailing list di Mozilla.org:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

In conclusione: è colpa del sito web, anche se accade solo nel tuo browser appena installato, e funziona bene altrove.


Come l'hanno risolto in un inglese semplice:

Hanno acquistato il loro certificato da un rivenditore di fiducia e il loro server web deve aver offerto un solo certificato - il loro - di cui il tuo browser non si fida direttamente, dal momento che lo hanno acquistato da un rivenditore di cui non hai mai sentito parlare.

Ora, invece di fornire un solo certificato, ne servono due contemporaneamente: il proprio ("* .upc.biz") e quello di alcuni rivenditori di certificati ("AlphaSSL CA - G2") e il certificato di tale rivenditore completa la fiducia, poiché ora vedi che qualcuno di cui ti fidi ("GlobalSign Root CA") ha garantito per tale rivenditore di fiducia.

Puoi vedere maggiori dettagli sui nomi esatti coinvolti qui:

http://www.digicert.com/help/?host=web.upc.biz

Alcuni altri siti web acquistano i loro certificati direttamente da un'autorità fidata e non da un rivenditore, quindi devono solo fornire il proprio certificato e tutto sarà ancora al top.

Ad esempio, linode.com ha acquistato il proprio certificato direttamente da Equifax, di cui Mozilla si fida direttamente, quindi non è necessario che Linode includa copie di certificati diversi dal proprio.


1

Qualcuno potrebbe spiegare il significato di questo messaggio di errore in un inglese semplice?

upc.biz vuole che tu digiti i dettagli personali

Per rassicurarti che upc.biz è un sito web gestito da UPC, upc.biz ti ha presentato un certificato che dice "puoi fidarti di upc.biz, lo garantisco" firmato Joe Smith.

Non hai idea di chi sia Joe Smith. Hai un elenco di firme di persone di cui il progetto Mozilla di Microsoft afferma che probabilmente ti puoi fidare per presentarti ad altre persone che sono probabilmente chi dicono di essere, Joe Smith non è in quell'elenco di firme (Autorità di certificazione).

Il certificato è quindi senza valore


Puoi verificarlo tagliando il tuo URL upc.biz completo e incollandolo nel tester di certificati all'indirizzo http://www.digicert.com/help/ , sebbene sia rivolto a persone che impostano certificati in siti come upc.biz , non alle persone che accedono a tali siti.


Inoltre, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html è una buona lettura.


Microsoft non è coinvolta qui;)
Bob
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.