Sertifika güvenilir değil çünkü yayıncı zinciri sağlanmadı


17

Herkes bu hata mesajının anlamını açık İngilizce olarak açıklayabilir mi?

Bir istisna eklemeli miyim yoksa bu web sitesinde devam etmemeli miyim ?

Teknik ayrıntılar: URL burada , tarayıcı Ubuntu 12.04 LTS'de Firefox 14.0.1.

Konqueror 4.8.2 aynı bağlantı için diyor:
Sertifika yetkilisinin sertifikası geçersiz
Kök sertifika yetkilisinin sertifikasına bu amaç için güvenilmiyor


GÜNCELLEME: Tarayıcımla hiçbir şey yapmadım ve şimdi sihirli bir şekilde çalışıyor, hata mesajı yok. Bir gizem.


Birisi buna sysadmin perspektifinden bakıyorsa: serverfault.com/questions/532262/… faydalı bilgiler içerir.
fifi finans

Yanıtlar:


14

Görünüşe göre bir ara CA (Sertifika Yetkilisi) eksik.

Sertifikalara yalnızca, güvenilir bir sertifika yetkilisi (yayıncı) tarafından imzalanır, bu da başka bir güvenilir CA tarafından imzalanır ve bunları doğrulayanlar (kök CA) tarafından açıkça güvenilenler olarak listelenir. Tarayıcılar (ve işletim sistemleri) kök CA'ların bir listesiyle birlikte gelir. Daha fazla ayrıntı için buraya bakın. Vikipedi'nin hemen hemen her yönüyle ilgili çok güzel bir açıklaması var.

Web sitesi sertifikası AlphaSSL, yayıncı olarak belirtiyor ve bu da belirtiyor GlobalSign Root CA. Bu zincir - web sitesinin sertifikası GlobalSign Root CAhiçbir yerden bahsetmiyor, bu yüzden zincirdeki ikisinden biri eksikse, Firefox şikayet edecek.

Sertifikanın ekran görüntüsü


Firefox sertifika yetkilileri listenizde GlobalSign / AlphaSSL varlığını doğrulayabilir misiniz?

  1. Sertifika Yöneticisi'ni açın ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. AuthoritiesSekmesini kontrol edin AlphaSSL CA - G2. Altında olmalı GlobalSign nv-sa.

    Ayrıca kontrol edin GlobalSign Root CA.

    Sertifika yöneticisinin ekran görüntüsü

  3. Web sitelerini tanımlamaya izin verildiğini seçin GlobalSign Root CA, tıklayın Edit Trustve doğrulayın. En azından benim için AlphaSSL'nin bu izni yoktu.


Kök CA'lar eksikse, sertifika deponuzu sıfırlamayı deneyin . Temelde, silme (veya yeniden adlandırmak) cert8.db, secmode.dbve cert_override.txtsenin dan profil klasörünün .

Ara sertifika eksikse, ara sertifikayı kökle birlikte sunmak sunucu operatörünün sorumluluğundadır. Onlarla iletişime geçmeli ve onlara bildirmelisiniz. İsterseniz, ara sertifikayı başka bir yerden alabilirsiniz - bu siteler bazen bazı insanlar için çalışır, çünkü önceden güvenilen önbelleğe alınmış bir araları vardır.


Firefox'ta önbelleğinizi temizlemeyi de deneyebilirsiniz.


Bu aynı zamanda CA'nın sistem mağazalarınızdan eksik olmasıyla ilgili bir sorun olabilir ve bu da Konqueror'un neden etkilendiğini açıklar. En azından Windows'ta Firefox'un sistemin sertifika deposunu yok saydığını biliyorum. Ubuntu'nun (veya Ubuntu'da Firefox'un) sertifikaları nasıl yönettiğini bilmiyorum, ancak sorun aynı: Bir CA eksik gibi görünüyor. Eklemeniz gerekecek.

Alternatif olarak, sitenin sertifikasını istisnalar listesine ekleyebilirsiniz. Bir CA'yı kaçırdığınız için, diğer sitelerin benzer bir hata gösterme şansı vardır - CA eklememenin tek nedeni, onlara güvenmiyorsanız. Bu sitenin sertifikası en azından sistemime göre geçerli görünüyor (ancak CA'lar sertifikaları iptal edebilir). Elbette, bir şekilde bir sertifikayı geçerli olarak doğrulayamazsanız, bir istisna eklemeyin .


Teşekkürler, bana öyle geliyor ki bir çözüme yakınız. "AlphaSSL CA - G2 için Yetkiler sekmesini kontrol edin. GlobalSign nv-sa altında olmalıdır" Orada değil . Ne yapmalıyım?
Ali

@Ali İlk olarak, sertifika deposunu sıfırlamayı deneyin. Bu işe yaramazsa GlobalSign Root CA, orada olup olmadığını kontrol edin . CA'yı AlphaSSL sitesinden yüklemeyi deneyebilirsiniz (özellikle bu bağlantı, crt DER format). Bunun web sunucusuna yüklenmesi gerektiğini ve istemci makineye manuel olarak yüklenmesi gerekmediğini söylüyorlar, bu nedenle bu sunucuyu çalıştıran bir şeyi unutmuş olabilir.
Bob

Unutmayın Eğer emin olmalıdır Eğer güvenilen listeye eklemeden önce bir sertifika / CA güvenebilirsiniz. Özellikle CA durumunda, verdikleri sertifikalara dolaylı olarak güvendiğiniz için.
Bob

Üzgünüm, size zamanında geri dönemedim, hareket ediyordum, bu yüzden UPC'deki yeni İnternet bağlantısı siparişi :)
Ali

1
@ x-yuri Adres çubuğundaki kilit sembolüne tıklayın => Daha Fazla Bilgi => Sertifikayı Görüntüle. Güvenilmeyen bağlantı sayfasındaysanız, Riskleri Anladım => İstisna Ekle'yi ve açılır pencerede Görüntüle'yi tıklatın.
Bob

5

Güvenilir yetkililerin sertifikalarına sahip bazı güvenli web siteleri, kendi sertifikalarını sunarken bir ara güven sertifikası zinciri içermeyecek şekilde yanlış yapılandırmaya sahiptir.

Geçerli sertifikaların payını gören bir sisteminiz / tarayıcınız varsa, bu aracılar önceden önbelleğe alınmış olabilir ve web sunucusu yapılandırmaları yukarıdaki gibi yanlış olsa bile herhangi bir hata mesajı almazsınız.

Ancak, yeni bir sistemde yeni kurulmuş bir tarayıcı kullanıyorsanız ve bu aracılar henüz önbelleğe alınmadıysa ve web sunucusu tarafından sunulan sertifikada uygun bir aracı zinciri eksikse, bir hata mesajı alırsınız.

İşte bir Mozilla.org posta listesindeki bir Mozilla geliştiricisinin resmi açıklaması:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

Alt satır: sadece yeni yüklenen tarayıcınızda olsa ve başka bir yerde iyi çalışıyor olsa bile, web sitesinin hatasıdır.


Düz İngilizce dilinde nasıl düzelttiler:

Sertifikalarını bir güven satıcısından satın aldılar ve web sunucuları, daha önce hiç duymadığınız bir satıcıdan aldıkları için tarayıcınızın doğrudan güvenmediği tek bir sertifika (kendi sertifikaları) sunmuş olmalıdır.

Şimdi, sadece bir sertifika sunmak yerine, aynı anda iki hak sunuyorlar - kendilerine ait ("* .upc.biz") ve bazı sertifika satıcılarının ("AlphaSSL CA - G2") ve bu satıcının sertifikası güveni tamamlar, çünkü artık güvendiğiniz birisinin ("GlobalSign Root CA") böyle bir güven satıcısına kefil olduğunu görürsünüz.

Burada yer alan tam isimler hakkında daha fazla ayrıntı görebilirsiniz:

http://www.digicert.com/help/?host=web.upc.biz

Diğer bazı web siteleri sertifikalarını doğrudan bir satıcıdan değil, güvenilir bir makamdan satın alır, bu nedenle yalnızca kendi sertifikalarını sunmaları gerekir ve her şey yine de en üstte olacaktır.

Örneğin, linode.com sertifikalarını doğrudan Mozilla'nın doğrudan güvendiği Equifax'tan satın aldı, bu nedenle Linode'un kendi sertifikalarının dışındaki herhangi bir kopyasını eklemesine gerek yok.


1

Herkes bu hata mesajının anlamını açık İngilizce olarak açıklayabilir mi?

upc.biz kişisel bilgilerinizi yazmanızı istiyor

Upc.biz'in UPC tarafından işletilen bir web sitesi olduğundan emin olmak için, upc.biz size "upc.biz'e güvenebilirsiniz, onlar için kefil oldum" yazan bir sertifika verdi Joe Smith.

Joe Smith'in kim olduğu hakkında hiçbir fikrin yok. Microsoft Mozilla projesinin sizi muhtemelen söyledikleri diğer insanlarla tanıştırmaya güvenebileceğinizi söylediği kişilerin bir listeniz var , Joe smith bu imza listesinde değil (Sertifika Yetkilileri).

Bu nedenle sertifika değersizdir


Bunu tam upc.biz URL'nizi kesip http://www.digicert.com/help/ adresindeki sertifika test cihazına yapıştırarak test edebilirsiniz, ancak bu upc.biz gibi sitelerde sertifika ayarlayan kişilere yöneliktir. , bu sitelere erişen kişilerde değil.


Ayrıca, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html iyi bir okumadır.


Microsoft burada yer almıyor;)
Bob
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.