O certificado não é confiável porque nenhuma cadeia de emissor foi fornecida


17

Alguém poderia explicar o significado dessa mensagem de erro em inglês simples ?

Devo adicionar uma exceção ou devo não continuar neste site?

Detalhes técnicos: a URL está aqui , o navegador é o Firefox 14.0.1 no Ubuntu 12.04 LTS.

O Konqueror 4.8.2 diz o mesmo link:
O certificado da autoridade de certificação é inválido.
O certificado da autoridade de certificação raiz não é confiável para este propósito.


ATUALIZAÇÃO: Eu não fiz nada com o meu navegador e agora ele funciona magicamente, sem mensagem de erro. Um mistério.


Se alguém estiver olhando para isso da perspectiva do administrador de sistemas: serverfault.com/questions/532262/… contém informações úteis.
fifi finance 28/03

Respostas:


14

Parece que você está perdendo uma CA intermediária (autoridade de certificação).

Os certificados são confiáveis ​​apenas porque são assinados por uma autoridade de certificação confiável (o emissor), que por sua vez é assinada por outra CA confiável, até os listados como explicitamente confiáveis ​​por qualquer coisa que esteja verificando-os (uma CA raiz). Navegadores (e sistemas operacionais) vêm com uma lista de CAs raiz. Veja aqui para mais detalhes. A Wikipedia também tem uma explicação muito boa de quase todos os aspectos.

O certificado do site parece especificar AlphaSSLcomo seu emissor, o que, por sua vez, especifica GlobalSign Root CA. Portanto, essa é a cadeia - o certificado do site não menciona em GlobalSign Root CAnenhum lugar; se um dos dois estiver ausente, o Firefox irá reclamar.

Captura de tela do certificado


Você poderia verificar se o GlobalSign / AlphaSSL existe na sua lista de autoridades de certificação do Firefox?

  1. Abra o Gerenciador de certificados ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. Verifique na Authoritiesguia o arquivo AlphaSSL CA - G2. Deve estar abaixo GlobalSign nv-sa.

    Também verifique GlobalSign Root CA.

    Captura de tela do gerenciador de certificados

  3. Selecione GlobalSign Root CA, clique Edit Truste verifique se é permitido identificar sites. Pelo menos para mim, o AlphaSSL não tinha essa permissão.


Se as autoridades de certificação raiz estiverem ausentes, tente redefinir seu armazenamento de certificados . Basicamente, excluir (ou renomear) cert8.db, secmode.dbe cert_override.txtde sua pasta de perfil .

Se o certificado intermediário estiver ausente, é responsabilidade do operador do servidor atender ao certificado intermediário junto com a raiz. Você deve contatá-los e informá-los. Se desejar, você pode obter o certificado intermediário em outro local - esses sites às vezes funcionam para algumas pessoas porque elas têm um intermediário em cache que já é confiável.


Você também pode tentar limpar seu cache no Firefox.


Isso também pode ser um problema com a falta de autoridade de certificação nos repositórios de sistema, o que explicaria por que o Konqueror também é afetado. Eu sei que, pelo menos no Windows, o Firefox ignora o armazenamento de certificados do sistema. Não estou familiarizado com a forma como o Ubuntu (ou Firefox no Ubuntu) gerencia certificados, mas o problema é o mesmo: parece que você está perdendo uma autoridade de certificação. Você precisará adicioná-lo.

Como alternativa, você pode adicionar o certificado do site à lista de exceções. Como falta uma autoridade de certificação, há uma chance de outros sites exibirem um erro semelhante - o único motivo para não adicionar a autoridade de certificação é se você não confia neles. O certificado deste site parece ser válido, pelo menos de acordo com o meu sistema (embora as autoridades de certificação possam revogar certificados). Obviamente, a menos que você possa, de alguma forma, verificar um certificado como válido, não adicione uma exceção .


Obrigado, parece-me que estamos perto de uma solução. "Verifique na guia Autoridades o AlphaSSL CA - G2. Ele deve estar em GlobalSign nv-sa" Ele não está lá. O que devo fazer?
Ali

@ Ali Primeiro, tente redefinir o armazenamento de certificados. Se isso não funcionar, verifique se GlobalSign Root CAexiste algum. Você pode tentar instalar a CA no site AlphaSSL (especificamente, neste link crt DER format). Eles dizem que isso deve ser instalado no servidor da web e não precisa ser instalado manualmente na máquina cliente, portanto, é possível que quem executa esse servidor tenha esquecido alguma coisa.
22412 Bob

Tenha em mente que você deve ter certeza de que você pode confiar em um certificado / CA antes de adicionar à sua lista de confiança. Especialmente no caso de uma CA, já que você confia implicitamente em qualquer certificado que eles emitem.
22412 Bob

Desculpe, não pude retornar a você em tempo hábil, estou me mudando; portanto, a nova ordem de conexão com a Internet na UPC :) #
3100 Ali Ali

1
@ x-yuri Clique no símbolo de cadeado na barra de endereço => Mais informações => Visualizar certificado. Se você estava na página não confiável da conexão, clique em Entendo os riscos => Adicionar exceção e clique em Exibir no pop-up.
Bob

5

Alguns sites seguros com certificados de autoridades confiáveis ​​têm configuração incorreta, de modo que não incluem uma cadeia de certificados intermediários de confiança ao servir seu próprio certificado.

Se você possui um sistema / navegador que viu seu compartilhamento de certificados válidos, esses intermediários já podem estar armazenados em cache e você não receberá nenhuma mensagem de erro, mesmo se a configuração do servidor da web ainda estiver incorreta, como acima.

No entanto, se você estiver usando um navegador recém-instalado em um sistema novo, e esses intermediários ainda não foram armazenados em cache, e o certificado apresentado pelo servidor da Web estiver sem uma cadeia apropriada de intermediários, você receberá uma mensagem de erro.

Aqui está uma explicação oficial de um desenvolvedor Mozilla em uma lista de discussão Mozilla.org:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

Conclusão: a culpa é do site, mesmo que apenas aconteça no seu navegador recém-instalado e funcione bem em outros lugares.


Como eles o consertaram em inglês simples:

Eles compraram o certificado de um revendedor de confiança e o servidor da web deve estar apenas servindo um certificado - o seu próprio - no qual o navegador não confia diretamente, pois o comprou de um revendedor do qual você nunca ouviu falar.

Agora, em vez de servir apenas um certificado, eles servem dois ao mesmo tempo - o próprio ("* .upc.biz") e o de um revendedor de certificados ("AlphaSSL CA - G2") e o certificado desse revendedor conclui a confiança, pois agora você vê que alguém em quem você confia ("CA GlobalSign Root") atestou esse revendedor de confiança.

Você pode ver mais detalhes sobre nomes exatos envolvidos aqui:

http://www.digicert.com/help/?host=web.upc.biz

Alguns outros sites compram seus certificados diretamente de uma autoridade confiável, e não de um revendedor, portanto, eles precisam apenas servir seu próprio certificado, e tudo ainda será excelente.

Por exemplo, o linode.com comprou seu certificado diretamente da Equifax, na qual a Mozilla confia diretamente, portanto, não é necessário que o Linode inclua cópias de nenhum certificado que não seja o seu.


1

Alguém poderia explicar o significado dessa mensagem de erro em inglês simples?

upc.biz quer que você digite seus dados pessoais

Para garantir que o upc.biz é um site administrado pela UPC, o upc.biz apresentou um certificado dizendo "você pode confiar no upc.biz, garanto-lhes", assinou Joe Smith.

Você não tem idéia de quem é Joe Smith. Você tem uma lista de assinaturas de pessoas nas quais Microsoft O projeto Mozilla diz que provavelmente você pode confiar para apresentá-lo a outras pessoas que provavelmente são quem dizem ser. Joe Smith não está nessa lista de assinaturas (autoridades de certificação).

O certificado é, portanto, inútil


Você pode testar isso cortando o URL completo do upc.biz e colando-o no testador de certificado em http://www.digicert.com/help/ - embora seja destinado a pessoas que configuram certificados em sites como o upc.biz , não para pessoas que acessam esses sites.


Além disso, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html é uma boa leitura.


A Microsoft não está envolvida aqui;)
Bob
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.