ใบรับรองไม่น่าเชื่อถือเนื่องจากไม่มีการจัดหาผู้ให้บริการ


17

ทุกคนสามารถอธิบายความหมายของข้อความแสดงข้อผิดพลาดเป็นภาษาอังกฤษได้หรือไม่

ฉันควรเพิ่มข้อยกเว้นหรือไม่ควรดำเนินการต่อในเว็บไซต์นี้

รายละเอียดทางเทคนิค: URL อยู่ที่นี่เบราว์เซอร์คือ Firefox 14.0.1 บน Ubuntu 12.04 LTS

Konqueror 4.8.2 พูดว่าสำหรับลิงค์เดียวกัน:
ใบรับรองของผู้ออกใบรับรองไม่ถูกต้อง
ใบรับรองของผู้ออกใบรับรองหลักไม่น่าเชื่อถือสำหรับจุดประสงค์นี้


ปรับปรุง:ฉันไม่ได้ทำอะไรกับเบราว์เซอร์ของฉันและตอนนี้มันทำงานได้อย่างน่าอัศจรรย์ไม่มีข้อความแสดงข้อผิดพลาด ความลึกลับ


หากมีคนกำลังดูสิ่งนี้จากมุมมองดูแลระบบ: serverfault.com/questions/532262/…มีข้อมูลที่เป็นประโยชน์
การเงิน fifi

คำตอบ:


14

ดูเหมือนว่าคุณไม่มี CA ระดับกลาง (Certificate Authority)

ใบรับรองเชื่อถือได้เพียงเพราะพวกเขาลงนามโดยหน่วยงานออกใบรับรองที่เชื่อถือได้ (ผู้ออกใบรับรอง) ซึ่งลงนามโดย CA ที่ไว้วางใจอื่น ๆ จนถึงรายชื่อที่เชื่อถือได้อย่างชัดเจนโดยสิ่งที่ตรวจสอบพวกเขา (รูต CA) เบราว์เซอร์ (และระบบปฏิบัติการ) มาพร้อมกับรายการรูท CA ดูที่นี่สำหรับรายละเอียดเพิ่มเติมWikipediaยังมีคำอธิบายที่ดีมากเกี่ยวกับทุกด้าน

ใบรับรองเว็บไซต์จะปรากฏขึ้นเพื่อระบุว่าเป็นผู้ออกใบรับรองซึ่งระบุการเปิดAlphaSSL GlobalSign Root CAนั่นคือสายโซ่ - ใบรับรองของเว็บไซต์ไม่ได้กล่าวถึงGlobalSign Root CAที่ใดก็ตามดังนั้นหากทั้งสองในกลุ่มนั้นขาดหายไป Firefox จะบ่น

สกรีนช็อตของใบรับรอง


คุณสามารถตรวจสอบว่า GlobalSign / AlphaSSL มีอยู่ในรายการผู้ออกใบรับรอง Firefox ของคุณหรือไม่

  1. เปิดตัวจัดการใบรับรอง ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. ตรวจสอบบนแท็บสำหรับAuthorities มันควรจะอยู่ภายใต้AlphaSSL CA - G2GlobalSign nv-sa

    ตรวจสอบGlobalSign Root CAด้วย

    สกรีนช็อตของตัวจัดการใบรับรอง

  3. เลือกGlobalSign Root CAคลิกEdit Trustและยืนยันว่าได้รับอนุญาตให้ระบุเว็บไซต์ อย่างน้อยสำหรับฉัน AlphaSSL ไม่ได้รับอนุญาต


หากราก CAs จะหายไปลองรีเซ็ตเก็บใบรับรองของคุณ โดยทั่วไปลบ (หรือเปลี่ยนชื่อ) cert8.db, secmode.dbและcert_override.txtจากโฟลเดอร์โปรไฟล์

หากใบรับรองกลางหายไปก็เป็นความรับผิดชอบของผู้ให้บริการเซิร์ฟเวอร์ในการให้บริการใบรับรองกลางพร้อมกับรูท คุณควรติดต่อพวกเขาและแจ้งให้ทราบ หากคุณต้องการคุณสามารถคว้าใบรับรองระดับกลางที่อื่น - บางครั้งเว็บไซต์เหล่านี้ใช้ได้กับบางคนเพราะพวกเขามีสื่อกลางแคชที่เชื่อถือได้แล้ว


คุณอาจต้องการลองล้างแคชใน Firefox


นี่อาจเป็นปัญหาที่ CA หายไปจากร้านค้าระบบของคุณซึ่งจะอธิบายว่าทำไม Konqueror จึงได้รับผลกระทบด้วย ฉันรู้ว่าอย่างน้อยใน Windows Firefox จะเพิกเฉยต่อที่เก็บใบรับรองของระบบ ฉันไม่คุ้นเคยกับวิธีที่ Ubuntu (หรือ Firefox บน Ubuntu) จัดการใบรับรอง แต่ปัญหาเหมือนกัน: คุณดูเหมือนจะไม่มี CA คุณจะต้องเพิ่มมัน

หรือคุณสามารถเพิ่มใบรับรองของไซต์ลงในรายการข้อยกเว้น เนื่องจากคุณไม่มี CA มีโอกาสที่ไซต์อื่นจะแสดงข้อผิดพลาดที่คล้ายกัน - เหตุผลเดียวที่จะไม่เพิ่ม CA คือถ้าคุณไม่เชื่อถือ ดูเหมือนว่าใบรับรองของไซต์นี้จะใช้ได้อย่างน้อยก็ตามระบบของฉัน (แม้ว่า CA สามารถเพิกถอนใบรับรองได้) แน่นอนถ้าคุณอย่างใดสามารถตรวจสอบใบรับรองที่ถูกต้องที่จะไม่เพิ่มข้อยกเว้น


ขอบคุณดูเหมือนว่าเราใกล้จะถึงทางออกแล้ว "ตรวจสอบที่แท็บ Authorities สำหรับ AlphaSSL CA - G2 ซึ่งควรอยู่ภายใต้ GlobalSign nv-sa" ไม่อยู่ที่นั่น ฉันควรทำอย่างไรดี?
Ali

@Ali ขั้นแรกให้ลองรีเซ็ตที่เก็บใบรับรอง หากไม่ได้ผลให้ตรวจสอบเพื่อดูว่าGlobalSign Root CAมี คุณสามารถลองติดตั้ง CA ได้จากไซต์ AlphaSSL (โดยเฉพาะลิงก์นี้crt DER format ) พวกเขาบอกว่าควรติดตั้งบนเว็บเซิร์ฟเวอร์และไม่จำเป็นต้องติดตั้งด้วยตนเองในเครื่องไคลเอนต์ดังนั้นจึงเป็นไปได้ว่าใครก็ตามที่รันเซิร์ฟเวอร์นั้นจะลืมอะไรบางอย่าง
Bob

โปรดทราบว่าคุณต้องแน่ใจว่าคุณสามารถเชื่อถือใบรับรอง / CA ก่อนที่จะเพิ่มลงในรายการที่เชื่อถือได้ของคุณ โดยเฉพาะอย่างยิ่งในกรณีของ CA เนื่องจากคุณเชื่อใจใบรับรองใด ๆ ที่พวกเขาออกโดยปริยาย
Bob

ขออภัยฉันไม่สามารถกลับมาหาคุณได้ในเวลาที่กำหนดฉันได้รับการเคลื่อนย้ายดังนั้นคำสั่งการเชื่อมต่ออินเทอร์เน็ตใหม่ที่ UPC :)
อาลี

1
@ x-yuri คลิกที่สัญลักษณ์ล็อคในแถบที่อยู่ => ข้อมูลเพิ่มเติม => ดูใบรับรอง หากคุณอยู่ในหน้าการเชื่อมต่อที่ไม่น่าเชื่อถือให้คลิกฉันเข้าใจความเสี่ยง => เพิ่มข้อยกเว้นและคลิกดูในป๊อปอัพ
บ๊อบ

5

เว็บไซต์ที่ปลอดภัยบางแห่งที่มีใบรับรองจากหน่วยงานที่น่าเชื่อถือมีการกำหนดค่าที่ไม่ถูกต้องเช่นที่พวกเขาไม่ได้รวมใบรับรองความไว้วางใจระดับกลางเมื่อแสดงใบรับรองของตนเอง

หากคุณมีระบบ / เบราว์เซอร์ที่เห็นส่วนแบ่งของใบรับรองที่ถูกต้องตัวกลางดังกล่าวอาจถูกแคชแล้วและคุณจะไม่ได้รับข้อความแสดงข้อผิดพลาดแม้ว่าการกำหนดค่าเว็บเซิร์ฟเวอร์ของพวกเขาจะยังคงผิดดังกล่าวข้างต้น

อย่างไรก็ตามหากคุณใช้เบราว์เซอร์ที่ติดตั้งใหม่ในระบบใหม่และตัวกลางดังกล่าวยังไม่ถูกแคชและใบรับรองที่แสดงโดยเว็บเซิร์ฟเวอร์ขาดสายโซ่ตัวกลางที่เหมาะสมคุณจะได้รับข้อความแสดงข้อผิดพลาด

นี่คือคำอธิบายอย่างเป็นทางการโดยผู้พัฒนา Mozilla ในรายชื่อผู้รับจดหมาย Mozilla.org:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

บรรทัดล่าง: มันเป็นความผิดของเว็บไซต์แม้ว่ามันจะเกิดขึ้นเฉพาะในเบราว์เซอร์ที่ติดตั้งใหม่ของคุณและทำงานได้ดีในที่อื่น


พวกเขาแก้ไขมันเป็นภาษาอังกฤษธรรมดาได้อย่างไร:

พวกเขาซื้อใบรับรองจากผู้ค้าปลีกที่เชื่อถือได้และเว็บเซิร์ฟเวอร์ของพวกเขาจะต้องให้บริการเพียงหนึ่งใบรับรอง - ของตัวเอง - ซึ่งเบราว์เซอร์ของคุณไม่เชื่อถือโดยตรงเนื่องจากพวกเขาซื้อจากผู้ค้าปลีกที่คุณไม่เคยได้ยิน

ตอนนี้แทนที่จะให้บริการเพียงใบรับรองเดียวพวกเขาให้บริการสองสิทธิ์ในเวลาเดียวกัน - ของตนเอง ("* .upc.biz") และของตัวแทนจำหน่ายใบรับรองบางราย ("AlphaSSL CA - G2") และใบรับรองของผู้ค้าปลีกดังกล่าว ทำให้ความเชื่อมั่นเสร็จสมบูรณ์เนื่องจากตอนนี้คุณเห็นว่าคนที่คุณไว้วางใจ ("GlobalSign Root CA") ได้รับรองผู้ค้าปลีกที่เชื่อถือดังกล่าว

คุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับชื่อที่แน่นอนที่เกี่ยวข้องได้ที่นี่:

http://www.digicert.com/help/?host=web.upc.biz

เว็บไซต์อื่น ๆ บางแห่งซื้อใบรับรองโดยตรงจากหน่วยงานที่เชื่อถือได้ไม่ใช่จากตัวแทนจำหน่ายดังนั้นพวกเขาจะต้องให้บริการใบรับรองของตนเองเท่านั้นและทุกอย่างจะยังคงอยู่ในระดับสูงสุด

ตัวอย่างเช่น linode.com ซื้อใบรับรองของพวกเขาโดยตรงจาก Equifax ซึ่ง Mozilla เชื่อถือโดยตรงดังนั้นจึงไม่จำเป็นที่ Linode จะต้องรวมสำเนาของใบรับรองใด ๆ นอกเหนือจากของพวกเขาเอง


1

ทุกคนสามารถอธิบายความหมายของข้อความแสดงข้อผิดพลาดเป็นภาษาอังกฤษได้หรือไม่

upc.biz ต้องการให้คุณพิมพ์ข้อมูลส่วนตัว

เพื่อสร้างความมั่นใจให้คุณว่า upc.biz เป็นเว็บไซต์ที่ดำเนินการโดย UPC upc.biz ได้มอบใบรับรองให้กับคุณว่า "คุณสามารถไว้วางใจ upc.biz ได้ฉันรับรองพวกเขา" Joe Smith ลงนาม

คุณไม่มีความคิดว่า Joe Smith เป็นใคร คุณมีรายการลายเซ็นของคนที่โครงการMicrosoft The Mozillaบอกว่าคุณสามารถไว้ใจได้ที่จะแนะนำคุณให้รู้จักกับคนอื่น ๆ ที่อาจเป็นคนที่พวกเขาบอกว่าโจสมิ ธ ไม่ได้อยู่ในรายการของลายเซ็น (Certifying Authorities)

ใบรับรองจึงไม่มีค่า


คุณสามารถทดสอบสิ่งนี้ได้ด้วยการตัด URL upc.biz แบบเต็มของคุณและวางลงในเครื่องทดสอบใบรับรองที่http://www.digicert.com/help/ - แม้ว่าจะมุ่งเป้าไปที่ผู้ที่ตั้งค่าใบรับรองในเว็บไซต์เช่น upc.biz ไม่ใช่คนที่เข้าถึงเว็บไซต์เหล่านั้น


นอกจากนี้http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.htmlเป็นการอ่านที่ดี


Microsoft ไม่มีส่วนเกี่ยวข้องที่นี่;)
Bob
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.