该证书不受信任,因为未提供颁发者链

17

谁能用简单的英语解释该错误消息的含义?

我应该添加例外还是应该继续在该网站上浏览?

技术细节:URL在此处,浏览器是Ubuntu 12.04 LTS上的Firefox 14.0.1。

Konqueror 4.8.2对同一链接说:
证书颁发机构的证书无效
为此目的,不信任根证书颁发机构的证书

更新:我没有对浏览器执行任何操作,现在它可以正常运行了,没有错误消息。一个谜。

firefox  ssl  https  certificate  ssl-certificate 
阿里
source
如果有人从系统管理员的角度看待这个问题:serverfault.com/questions/532262/…包含有用的信息。
FIFI Finance 2014年

Answers:

14

看来您缺少中间CA(证书颁发机构)。

证书仅受信任,因为它们是由受信任的证书颁发机构(颁发者)签名的,而证书颁发机构又由另一个受信任的CA签名,直到被验证它们的任何人(根CA)列出为明确受信任的证书为止。浏览器(和操作系统)附带一个根CA列表。有关更多详细信息,请参见此处维基百科对每个方面都有很好的解释。

网站证书似乎指定AlphaSSL为发行者,而发行者又指定了GlobalSign Root CA。这就是链条-网站的证书没有GlobalSign Root CA在任何地方提及,因此,如果链条中的任何一个丢失,Firefox将会抱怨。

证书的屏幕截图

您可以验证Firefox证书颁发机构列表中是否存在GlobalSign / AlphaSSL?

  1. 打开证书管理器(Tools=> Options=> Advanced=> Encryption=> View Certificates

  2. 检查Authorities选项卡上的AlphaSSL CA - G2。应该在下GlobalSign nv-sa

    同时检查GlobalSign Root CA

    证书管理器的屏幕截图

  3. 选择GlobalSign Root CA,单击Edit Trust,然后验证是否可以标识网站。至少对我来说,AlphaSSL没有该权限。

如果缺少根CA,请尝试重置证书存储。基本上,删除(或重命名)cert8.dbsecmode.dbcert_override.txt从您的配置文件文件夹

如果中间证书丢失,那么服务器操作员有责任与根一起提供中间证书。您应该与他们联系并告知他们。如果需要,您可以在其他地方获取中间证书-这些站点有时对某些人有用,因为他们拥有已被信任的缓存中间文件。

您可能还想尝试在Firefox中清除缓存。

这也可能是系统存储中缺少CA的问题,这可以解释为什么Konqueror也受到影响。我知道,至少在Windows上,Firefox会忽略系统的证书存储。我不熟悉Ubuntu(或Ubuntu上的Firefox)如何管理证书,但是问题是相同的:您似乎缺少CA。您需要添加它。

或者,您可以将站点的证书添加到例外列表。由于您缺少CA,因此其他站点很可能会显示类似的错误-不添加CA的唯一原因是您不信任它们。至少根据我的系统,此站点的证书似乎有效(尽管CA可以撤消证书)。当然,除非您能以某种方式验证证书有效,否则不要添加异常

鲍勃
source
谢谢,在我看来,我们已经接近解决方案。“不检查AlphaSSL CA-G2的“授权”选项卡。它应该在GlobalSign nv-sa下” 。存在。我该怎么办?
阿里
@Ali首先,尝试重置证书存储。如果那不起作用,请检查GlobalSign Root CA那里是否存在。您可以尝试从AlphaSSL站点(特别是链接crt DER format)安装CA。他们说这应该安装在网络服务器上,而无需在客户端计算机上手动安装,因此,运行该服务器的任何人都有可能忘记了某些东西。
Bob
请记住,必须确保可以把它添加到您的信任列表之前信任证书/ CA。特别是在CA的情况下,因为您暗中信任它们颁发的任何证书。
Bob
抱歉,我无法及时回覆您,我一直在搬家,因此,UPC的新Internet连接顺序:)
阿里
1
@ x-yuri单击地址栏中的锁定符号=>更多信息=>查看证书。如果您位于连接不受信任的页面上,请单击“我了解风险=>添加例外”,然后在弹出窗口中单击“查看”。
鲍勃
5

一些带有受信任的权威机构颁发的证书的安全网站的配置不正确,因此在提供自己的证书时,它们不包含中间信任证书链。

如果您的系统/浏览器已经看到其有效证书的份额,则这些中介可能已经被缓存,即使它们的Web服务器配置仍然如上,您也不会收到任何错误消息。

但是,如果您在新系统上使用的是全新安装的浏览器,并且尚未缓存此类中介,并且Web服务器提供的证书缺少适当的中介链,则会收到错误消息。

这是Mozilla开发人员在Mozilla.org邮件列表中的官方解释:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

底线:这是网站的错误,即使它仅发生在您刚安装的浏览器中,并且在其他地方也可以正常工作。

他们如何用简单的英语修复它:

他们是从信任的经销商那里购买证书的,而他们的Web服务器必须只提供一个证书,即自己的证书,您的浏览器不会直接信任它,因为他们是从您从未听说过的经销商那里购买的。

现在,他们不再只提供一个证书,而是同时提供两个服务-自己的证书(“ * .upc.biz”)和某些证书经销商的证书(“ AlphaSSL CA-G2”)以及此类经销商的证书完成信任,因为您现在看到您信任的人(“ GlobalSign Root CA”)已担保此类信任经销商。

您可以在此处查看有关确切名称的更多详细信息:

http://www.digicert.com/help/?host=web.upc.biz

其他一些网站直接从受信任的权威机构而不是从经销商购买证书,因此,它们只需要提供自己的证书,所有内容仍将是一流的。

例如,linode.com直接从Mozilla直接信任的Equifax购买了证书,因此Linode不需要包括证书以外的任何副本。

cnst
source
1

谁能用简单的英语解释此错误消息的含义

upc.biz希望您输入个人详细信息

为了向您保证upc.biz是UPC运营的网站,upc.biz已向您颁发了证书,上面写有“您可以信任upc.biz,我为他们担保”的证书。

你不知道乔·史密斯是谁。您有Microsoft 签名的人的列表。Mozilla项目说您可以信任,将您介绍给其他可能是他们所说的人,而Joe smith不在签名列表中(证书颁发机构)。

因此,该证书一文不值

您可以通过剪切完整的upc.biz URL并将其粘贴到http://www.digicert.com/help/上的证书测试器中进行测试-尽管这是针对那些在upc.biz等网站中设置证书的人的,而不是访问这些网站的人。

另外,http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html也很不错。

红砂砖
source
微软不在这里;)
Bob
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.