Chứng chỉ không được tin cậy vì không có chuỗi nhà phát hành nào được cung cấp


17

Bất cứ ai có thể giải thích ý nghĩa của thông báo lỗi này bằng tiếng Anh ?

Tôi có nên thêm một ngoại lệ hay tôi không nên tiếp tục trên trang web này?

Chi tiết kỹ thuật: URL ở đây , trình duyệt là Firefox 14.0.1 trên Ubuntu 12.04 LTS.

Konqueror 4.8.2 nói cho cùng một liên kết:
Chứng chỉ của cơ quan chứng nhận không hợp lệ
Chứng chỉ của cơ quan chứng nhận gốc không được tin cậy cho mục đích này


CẬP NHẬT: Tôi không làm gì với trình duyệt của mình và bây giờ nó hoạt động một cách kỳ diệu, không có thông báo lỗi. Một bí ẩn.


Nếu ai đó đang xem xét điều này từ góc độ sysadmin: serverfault.com/questions/532262/ rủi chứa thông tin hữu ích.
tài chính fifi

Câu trả lời:


14

Có vẻ như bạn đang thiếu một CA trung gian (Cơ quan cấp chứng chỉ).

Chứng chỉ chỉ được tin cậy bởi vì chúng được ký bởi cơ quan chứng nhận tin cậy (tổ chức phát hành), lần lượt được ký bởi một CA đáng tin cậy khác, cho đến những chứng chỉ được liệt kê là đáng tin cậy bởi bất cứ điều gì đang xác minh chúng (CA gốc). Các trình duyệt (và HĐH) đi kèm với một danh sách các CA gốc. Xem ở đây để biết thêm chi tiết. Wikipedia cũng có một lời giải thích rất hay về mọi khía cạnh.

Chứng chỉ trang web dường như chỉ định AlphaSSLlà tổ chức phát hành, lần lượt chỉ định GlobalSign Root CA. Vì vậy, đó là chuỗi - chứng chỉ của trang web không đề cập đến GlobalSign Root CAbất cứ nơi nào vì vậy nếu thiếu một trong hai trong chuỗi, Firefox sẽ khiếu nại.

Ảnh chụp màn hình chứng chỉ


Bạn có thể xác minh GlobalSign / AlphaSSL tồn tại trong danh sách các cơ quan cấp chứng chỉ Firefox của bạn không?

  1. Mở Trình quản lý chứng chỉ ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. Kiểm tra trên Authoritiestab cho AlphaSSL CA - G2. Nó nên ở dưới GlobalSign nv-sa.

    Ngoài ra kiểm tra cho GlobalSign Root CA.

    Ảnh chụp màn hình của người quản lý chứng chỉ

  3. Chọn GlobalSign Root CA, nhấp Edit Trustvà xác minh rằng nó được phép xác định trang web. Ít nhất với tôi, AlphaSSL không có sự cho phép đó.


Nếu các CA gốc bị thiếu, hãy thử đặt lại cửa hàng chứng chỉ của bạn . Về cơ bản, xóa (hoặc đổi tên) cert8.db, secmode.dbcert_override.txttừ của bạn thư mục profile .

Nếu chứng chỉ trung gian bị thiếu, tốt, trách nhiệm của nhà điều hành máy chủ là phục vụ chứng chỉ trung gian cùng với root. Bạn nên liên hệ với họ và cho họ biết. Nếu bạn muốn, bạn có thể lấy chứng chỉ trung gian ở nơi khác - những trang này đôi khi hoạt động với một số người vì họ có một trung gian được lưu trong bộ nhớ cache đã được tin cậy.


Bạn cũng có thể muốn thử xóa bộ nhớ cache trong Firefox.


Đây cũng có thể là một vấn đề với việc CA bị thiếu trong các cửa hàng hệ thống của bạn, điều này sẽ giải thích tại sao Konqueror cũng bị ảnh hưởng. Tôi biết rằng, ít nhất là trên Windows, Firefox bỏ qua kho chứng chỉ của hệ thống. Tôi không quen với cách Ubuntu (hoặc Firefox trên Ubuntu) quản lý chứng chỉ, nhưng vấn đề là như nhau: bạn dường như đang thiếu một CA. Bạn sẽ cần phải thêm nó.

Ngoài ra, bạn có thể thêm chứng chỉ của trang web vào danh sách ngoại lệ. Vì bạn đang thiếu CA, nên có thể các trang web khác sẽ hiển thị một lỗi tương tự - lý do duy nhất để không thêm CA là nếu bạn không tin tưởng chúng. Chứng chỉ của trang này dường như hợp lệ, ít nhất là theo hệ thống của tôi (mặc dù CA có thể thu hồi chứng chỉ). Tất nhiên, trừ khi bạn bằng cách nào đó có thể xác minh chứng chỉ là hợp lệ, không thêm ngoại lệ .


Cảm ơn, có vẻ như tôi gần với một giải pháp. "Kiểm tra trên tab Chính quyền cho AlphaSSL CA - G2. Nó phải nằm trong GlobalSign nv-sa" Nó không có ở đó. Tôi nên làm gì?
Ali

@Ali Trước tiên, hãy thử đặt lại cửa hàng chứng chỉ. Nếu điều đó không làm việc, kiểm tra xem nếu GlobalSign Root CAcó. Bạn có thể thử cài đặt CA từ trang AlphaSSL (cụ thể là liên kết này , crt DER format). Họ nói rằng điều này nên được cài đặt trên máy chủ web và không cần phải cài đặt thủ công trên máy khách, vì vậy bất cứ ai chạy máy chủ đó đều quên điều gì đó.
Bob

Hãy nhớ rằng bạn phải chắc chắn rằng bạn có thể tin tưởng một chứng chỉ / CA trước khi thêm nó vào danh sách đáng tin cậy của bạn. Đặc biệt là trong trường hợp của CA, vì bạn hoàn toàn tin tưởng bất kỳ chứng chỉ nào họ cấp.
Bob

Xin lỗi tôi không thể quay lại với bạn kịp thời, tôi đã di chuyển, do đó thứ tự kết nối Internet mới tại UPC :)
Ali

1
@ x-yuri Nhấp vào biểu tượng khóa trong thanh địa chỉ => Thông tin thêm => Xem chứng chỉ. Nếu bạn đang ở trên trang không kết nối, thì hãy nhấp vào Tôi hiểu Rủi ro => Thêm ngoại lệ và nhấp vào Xem trong cửa sổ bật lên.
Bob

5

Một số trang web bảo mật có chứng chỉ từ các cơ quan đáng tin cậy có cấu hình không chính xác sao cho chúng không bao gồm một chuỗi chứng chỉ trung gian tin cậy khi phục vụ chứng chỉ của riêng họ.

Nếu bạn có một hệ thống / trình duyệt đã thấy phần chứng chỉ hợp lệ của nó, các trung gian đó có thể đã được lưu trong bộ nhớ cache và bạn sẽ không nhận được bất kỳ thông báo lỗi nào, ngay cả khi cấu hình máy chủ web của họ vẫn sai như trên.

Tuy nhiên, nếu bạn đang sử dụng trình duyệt mới được cài đặt trên một hệ thống mới và các trung gian như vậy chưa được lưu trong bộ nhớ cache và chứng chỉ do máy chủ web xuất hiện thiếu một chuỗi trung gian thích hợp, thì bạn sẽ nhận được thông báo lỗi.

Đây là lời giải thích chính thức của nhà phát triển Mozilla trong danh sách gửi thư của Mozilla.org:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

Điểm mấu chốt: đó là lỗi của trang web, ngay cả khi nó chỉ xảy ra trong trình duyệt mới cài đặt của bạn và hoạt động tốt ở nơi khác.


Làm thế nào họ đã sửa nó bằng tiếng Anh đơn giản:

Họ đã mua chứng chỉ của họ từ một đại lý ủy thác và máy chủ web của họ chỉ phải phục vụ một chứng chỉ - mà chính trình duyệt của bạn không tin tưởng trực tiếp, vì họ đã mua nó từ một đại lý mà bạn chưa từng nghe đến.

Bây giờ, thay vì chỉ phục vụ một chứng chỉ, họ phục vụ hai quyền cùng một lúc - của riêng họ ("* .upc.biz") và của một số người bán lại chứng chỉ ("AlphaSSL CA - G2") và chứng chỉ của người bán lại đó hoàn thành sự tin tưởng, vì bây giờ bạn thấy rằng ai đó mà bạn tin tưởng ("GlobalSign Root CA") đã được chứng nhận cho người bán lại niềm tin đó.

Bạn có thể xem thêm chi tiết về các tên chính xác liên quan ở đây:

http://www.digicert.com/help/?host=web.upc.biz

Một số trang web khác mua chứng chỉ của họ trực tiếp từ cơ quan đáng tin cậy chứ không phải từ đại lý bán lẻ, vì vậy, họ chỉ cần phục vụ chứng chỉ của riêng mình và mọi thứ vẫn sẽ là đỉnh cao.

Ví dụ: linode.com đã mua chứng chỉ của họ trực tiếp từ Equachus, được Mozilla tin tưởng trực tiếp, do đó, Linode không cần phải có bất kỳ bản sao nào của bất kỳ chứng chỉ nào khác ngoài chứng chỉ của họ.


1

Bất cứ ai có thể giải thích ý nghĩa của thông báo lỗi này bằng tiếng Anh?

upc.biz muốn bạn nhập thông tin cá nhân

Để trấn an bạn rằng upc.biz là một trang web đang được điều hành bởi UPC, upc.biz đã tặng bạn một chứng chỉ có nội dung "bạn có thể tin tưởng upc.biz, tôi bảo đảm cho họ" có chữ ký của Joe Smith.

Bạn không biết Joe Smith là ai. Bạn có một danh sách chữ ký của những người mà Microsoft Dự án Mozilla nói rằng bạn có thể tin tưởng để giới thiệu bạn với những người khác có lẽ họ nói họ là ai, Joe smith không có trong danh sách chữ ký đó (Chứng nhận chính quyền).

Giấy chứng nhận là vô giá trị


Bạn có thể kiểm tra điều này bằng cách cắt URL upc.biz đầy đủ của mình và dán nó vào trình kiểm tra chứng chỉ tại http://www.digicert.com/help/ - mặc dù điều đó nhằm vào những người thiết lập chứng chỉ trong các trang web như upc.biz , không phải ở những người truy cập các trang web.


Ngoài ra, http://www.schneier.com/blog/archives/2010/09/clus_man-in-the-.html là một bài đọc tốt.


Microsoft không tham gia ở đây;)
Bob
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.