17

Может ли кто-нибудь объяснить значение этого сообщения об ошибке на простом английском языке?

Должен ли я добавить исключение или я не должен продолжать на этом сайте?

Технические детали: URL здесь, браузер Firefox 14.0.1 на Ubuntu 12.04 LTS.

Konqueror 4.8.2 говорит по той же ссылке:
Сертификат центра сертификации недействителен
Сертификат корневого центра сертификации для этой цели не является доверенным


ОБНОВЛЕНИЕ: я ничего не делал с моим браузером, и теперь он волшебным образом работает, никаких сообщений об ошибках. Загадка.

3 ответа3

14

Похоже, вам не хватает промежуточного центра сертификации (центра сертификации).

Сертификаты являются доверенными только потому, что они подписаны доверенным центром сертификации (эмитентом), который в свою очередь подписан другим доверенным ЦС, вплоть до тех, которые перечислены как явно доверенные тем, кто их проверяет (корневой ЦС). Браузеры (и ОС) поставляются со списком корневых ЦС. Смотрите здесь для более подробной информации. В Википедии также есть очень хорошее объяснение почти каждого аспекта.

Сертификат веб-сайта указывает AlphaSSL качестве его эмитента, который, в свою очередь, определяет GlobalSign Root CA . Такова цепочка - в сертификате сайта нигде не упоминается GlobalSign Root CA поэтому, если какой-либо из двух в цепочке отсутствует, Firefox будет жаловаться.

Скриншот сертификата


Не могли бы вы подтвердить, что GlobalSign/AlphaSSL существует в вашем списке центров сертификации Firefox?

  1. Откройте диспетчер сертификатов (Tools => Options => Advanced => Encryption => View Certificates)

  2. Проверьте на вкладке Authorities для AlphaSSL CA - G2 . Должен быть под GlobalSign nv-sa .

    Также проверьте наличие GlobalSign Root CA

    Снимок экрана менеджера сертификатов

  3. Выберите GlobalSign Root CA , нажмите « Edit Trust и убедитесь, что ему разрешено идентифицировать веб-сайты. По крайней мере, у меня AlphaSSL не было такого разрешения.


Если корневые центры сертификации отсутствуют, попробуйте сбросить хранилище сертификатов. В основном, удалите (или переименуйте) cert8.db , secmode.db и cert_override.txt из папки вашего профиля.

Если промежуточный сертификат отсутствует, то оператор сервера должен обслуживать промежуточный сертификат вместе с корневым. Вы должны связаться с ними и дать им знать. Если вы хотите, вы можете получить промежуточный сертификат в другом месте - эти сайты иногда работают для некоторых людей, потому что у них есть кэшированный промежуточный сертификат, которому уже доверяют.


Вы также можете попробовать очистить кеш в Firefox.


Это также может быть причиной отсутствия CA в ваших системных хранилищах, что объясняет, почему Konqueror также подвержен этой уязвимости. Я знаю, что, по крайней мере в Windows, Firefox игнорирует хранилище сертификатов системы. Я не знаком с тем, как Ubuntu (или Firefox в Ubuntu) управляет сертификатами, но проблема та же: у вас, похоже, отсутствует CA. Вам нужно будет добавить это.

Кроме того, вы можете добавить сертификат сайта в список исключений. Поскольку у вас отсутствует ЦС, существует вероятность того, что другие сайты отобразят аналогичную ошибку - единственная причина не добавлять ЦС - это если вы им не доверяете. Сертификат этого сайта кажется действительным, по крайней мере, в соответствии с моей системой (хотя центры сертификации могут отзывать сертификаты). Конечно, если вы не можете каким-либо образом проверить действующий сертификат, не добавляйте исключение.

5

Некоторые защищенные веб-сайты с сертификатами от доверенных органов имеют неправильную конфигурацию, так что они не включают цепочку промежуточных сертификатов доверия при обслуживании своего собственного сертификата.

Если у вас есть система / браузер, который видел свою долю действительных сертификатов, такие посредники уже могут быть кэшированы, и вы не будете получать никаких сообщений об ошибках, даже если их конфигурация веб-сервера все еще неверна, как указано выше.

Однако, если вы используете только что установленный браузер в новой системе, и такие посредники еще не были кэшированы, а в сертификате, представленном веб-сервером, отсутствует соответствующая цепочка посредников, вы получите сообщение об ошибке.

Вот официальное объяснение разработчика Mozilla в списке рассылки Mozilla.org:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

Итог: это вина веб-сайта, даже если это происходит только в вашем недавно установленном браузере и отлично работает в других местах.


Как они исправили это простым языком:

Они купили свой сертификат у торгового посредника, и их веб-сервер должен был обслуживать только один сертификат - свой собственный - которому ваш браузер не доверяет напрямую, поскольку они купили его у торгового посредника, о котором вы никогда не слышали.

Теперь вместо того, чтобы обслуживать только один сертификат, они одновременно обслуживают два - свой ("* .upc.biz") и сертификат какого-либо реселлера сертификатов ("AlphaSSL CA - G2"), а также сертификат такого реселлера. Доверие завершается, поскольку теперь вы видите, что кто-то, кому вы доверяете ("GlobalSign Root CA"), поручился за такого посредника доверия.

Вы можете увидеть более подробную информацию о точных именах здесь:

http://www.digicert.com/help/?host=web.upc.biz

Некоторые другие веб-сайты покупают свои сертификаты непосредственно у доверенного органа, а не у реселлера, поэтому им нужно только обслуживать собственный сертификат, и все будет по-прежнему на высоте.

Например, linode.com приобрел их сертификат непосредственно у Equifax, которому Mozilla доверяет напрямую, поэтому нет необходимости в том, чтобы Linode включал какие-либо копии любых сертификатов, кроме их собственных.

1

Может ли кто-нибудь объяснить значение этого сообщения об ошибке на простом английском языке?

upc.biz хочет, чтобы вы указали личные данные

Чтобы заверить вас, что upc.biz - это веб-сайт, которым управляет UPC, upc.biz предоставил вам сертификат с надписью «Вы можете доверять upc.biz, я ручаюсь за них», подписанный Джо Смитом.

Вы понятия не имеете, кто такой Джо Смит. У вас есть список подписей людей, которые Microsoft Проект Mozilla сказал, что вы, вероятно, можете доверять, чтобы познакомить вас с другими людьми, которые, вероятно, являются теми, кем, как они говорят, Джо Смит не входит в этот список подписей (Удостоверяющие органы).

Поэтому сертификат бесполезен


Вы можете проверить это, вырезав полный URL-адрес upc.biz и вставив его в тестер сертификатов по адресу http://www.digicert.com/help/, хотя он предназначен для людей, которые устанавливают сертификаты на таких сайтах, как upc.biz. , а не на людей, которые получают доступ к этим сайтам.


Кроме того, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html является хорошим чтением.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .