Das Zertifikat ist nicht vertrauenswürdig, da keine Ausstellerkette angegeben wurde


17

Könnte jemand die Bedeutung dieser Fehlermeldung im Klartext erklären ?

Sollte ich eine Ausnahme hinzufügen oder nicht auf dieser Website fortfahren?

Technische Details: Die URL ist hier , der Browser ist Firefox 14.0.1 auf Ubuntu 12.04 LTS.

Konqueror 4.8.2 gibt für denselben Link Folgendes an:
Das Zertifikat der Zertifizierungsstelle ist ungültig.
Das Zertifikat der Stammzertifizierungsstelle ist für diesen Zweck nicht vertrauenswürdig


UPDATE: Ich habe nichts mit meinem Browser gemacht und jetzt funktioniert es magisch, keine Fehlermeldung. Ein Geheimnis.


Wenn jemand dies aus sysadmin-Sicht betrachtet: serverfault.com/questions/532262/… enthält nützliche Informationen.
Fifi Finance

Antworten:


14

Anscheinend fehlt Ihnen eine Zwischenzertifizierungsstelle (Certificate Authority).

Zertifikate sind nur vertrauenswürdig, weil sie von einer vertrauenswürdigen Zertifizierungsstelle (dem Aussteller) signiert sind, die wiederum von einer anderen vertrauenswürdigen Zertifizierungsstelle signiert ist. Browser (und Betriebssysteme) enthalten eine Liste der Stammzertifizierungsstellen. Sehen Sie hier für weitere Details. Wikipedia hat auch eine sehr schöne Erklärung für fast jeden Aspekt.

Das Website-Zertifikat scheint AlphaSSLden Aussteller anzugeben , der dies wiederum angibt GlobalSign Root CA. Das ist also die Kette - im Zertifikat der Website ist GlobalSign Root CAnirgendwo etwas vermerkt. Wenn also einer der beiden in der Kette fehlt, wird Firefox sich beschweren.

Screenshot des Zertifikats


Können Sie überprüfen, ob GlobalSign / AlphaSSL in Ihrer Firefox-Zertifizierungsstellenliste vorhanden ist?

  1. Öffne den Zertifikatsmanager ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. Überprüfen Sie auf der AuthoritiesRegisterkarte für die AlphaSSL CA - G2. Es sollte unter sein GlobalSign nv-sa.

    Überprüfen Sie auch für GlobalSign Root CA.

    Screenshot des Zertifikatsmanagers

  3. Wählen Sie aus GlobalSign Root CA, klicken Sie darauf Edit Trustund vergewissern Sie sich, dass Websites identifiziert werden dürfen. Zumindest für mich hatte AlphaSSL diese Erlaubnis nicht.


Wenn die Stammzertifizierungsstellen fehlen, setzen Sie den Zertifikatspeicher zurück . Grundsätzlich löschen (oder umbenennen) cert8.db, secmode.dbund cert_override.txtaus Ihrem Profilordner .

Wenn das Zwischenzertifikat fehlt, liegt es in der Verantwortung des Serverbetreibers, das Zwischenzertifikat zusammen mit dem Stammzertifikat bereitzustellen. Sie sollten sich mit ihnen in Verbindung setzen und sie wissen lassen. Wenn Sie möchten, können Sie das Zwischenzertifikat auch an einer anderen Stelle abrufen. Diese Sites funktionieren manchmal bei einigen Personen, da diese über ein zwischengespeichertes Zwischenzertifikat verfügen, das bereits als vertrauenswürdig eingestuft ist.


Möglicherweise möchten Sie auch versuchen, den Cache in Firefox zu löschen.


Dies kann auch ein Problem sein, wenn die Zertifizierungsstelle in Ihren Systemspeichern fehlt. Dies erklärt, warum auch Konqueror betroffen ist. Ich weiß, dass Firefox zumindest unter Windows den Zertifikatspeicher des Systems ignoriert. Ich bin nicht mit der Verwaltung von Zertifikaten durch Ubuntu (oder Firefox unter Ubuntu) vertraut, aber das Problem ist dasselbe: Ihnen fehlt anscheinend eine Zertifizierungsstelle. Sie müssen es hinzufügen.

Alternativ können Sie das Zertifikat der Site zur Ausnahmeliste hinzufügen. Da Ihnen eine Zertifizierungsstelle fehlt, wird auf anderen Websites möglicherweise ein ähnlicher Fehler angezeigt. Der einzige Grund, die Zertifizierungsstelle nicht hinzuzufügen, besteht darin, dass Sie ihnen nicht vertrauen. Das Zertifikat dieser Site scheint zumindest laut meinem System gültig zu sein (obwohl Zertifizierungsstellen Zertifikate widerrufen können). Fügen Sie natürlich keine Ausnahme hinzu , es sei denn, Sie können ein Zertifikat auf irgendeine Weise als gültig bestätigen .


Vielen Dank, es scheint mir, dass wir einer Lösung nahe sind. "Aktivieren Sie auf der Registerkarte" Berechtigungen "das Kontrollkästchen" AlphaSSL CA - G2 ". Es sollte sich unter" GlobalSign nv-sa " befinden. " Es ist nicht vorhanden. Was soll ich machen?
Ali

@Ali Versuchen Sie zunächst, den Zertifikatspeicher zurückzusetzen. Wenn dies nicht funktioniert, überprüfen Sie, ob das vorhanden GlobalSign Root CAist. Sie können versuchen, die Zertifizierungsstelle von der AlphaSSL-Site aus zu installieren (insbesondere über diesen Link crt DER format). Sie sagen, dass dies auf dem Webserver installiert werden sollte und nicht manuell auf dem Client-Computer installiert werden muss, sodass es möglich ist, dass jeder, der diesen Server betreibt, etwas vergessen hat.
Bob

Denken Sie daran, dass Sie sicher sein müssen, dass Sie einem Zertifikat / einer Zertifizierungsstelle vertrauen können, bevor Sie es Ihrer vertrauenswürdigen Liste hinzufügen. Insbesondere im Fall einer Zertifizierungsstelle, da Sie implizit jedem von ihnen ausgestellten Zertifikat vertrauen.
Bob

Es tut mir leid, dass ich nicht rechtzeitig zu Ihnen zurückkehren konnte. Ich bin
Ali

1
@ x-yuri Klicken Sie auf das Schlosssymbol in der Adressleiste => Weitere Informationen => Zertifikat anzeigen. Wenn Sie sich auf der Seite "Verbindung nicht vertrauenswürdig" befunden haben, klicken Sie auf "Ich verstehe die Risiken" => "Ausnahme hinzufügen" und klicken Sie im Popup auf "Anzeigen".
Bob

5

Einige sichere Websites mit Zertifikaten von vertrauenswürdigen Stellen weisen eine falsche Konfiguration auf, sodass sie keine Kette von Zwischenzertifikaten enthalten, wenn sie ihr eigenes Zertifikat bereitstellen.

Wenn Sie ein System / einen Browser haben, dessen Anteil an gültigen Zertifikaten bereits vorhanden ist, werden diese Intermediäre möglicherweise bereits zwischengespeichert, und es werden keine Fehlermeldungen angezeigt, selbst wenn die oben beschriebene Webserverkonfiguration noch immer falsch ist.

Wenn Sie jedoch einen frisch installierten Browser auf einem neuen System verwenden und diese Intermediäre noch nicht zwischengespeichert wurden und dem vom Webserver vorgelegten Zertifikat eine entsprechende Kette von Intermediären fehlt, wird eine Fehlermeldung angezeigt.

Hier ist eine offizielle Erklärung eines Mozilla-Entwicklers in einer Mozilla.org-Mailingliste:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

Fazit: Es ist die Schuld der Website, auch wenn sie nur in Ihrem frisch installierten Browser auftritt und an anderer Stelle einwandfrei funktioniert.


Wie sie es im Klartext behoben haben:

Sie haben ihr Zertifikat von einem Händler gekauft, von dem Sie noch nie etwas gehört haben, und ihr Webserver muss nur ein Zertifikat bereitgestellt haben - das eigene -, dem Ihr Browser nicht direkt vertraut.

Anstatt nur ein Zertifikat zuzustellen, werden jetzt zwei Zertifikate gleichzeitig bereitgestellt - das eigene ("* .upc.biz") und das eines Zertifikat-Wiederverkäufers ("AlphaSSL CA-G2") sowie das Zertifikat eines solchen Wiederverkäufers Vervollständigt die Vertrauenswürdigkeit, da Sie nun sehen, dass jemand, dem Sie vertrauen ("GlobalSign Root CA"), für einen solchen Vertrauenspersonal bürgt.

Weitere Details zu den genauen Namen finden Sie hier:

http://www.digicert.com/help/?host=web.upc.biz

Einige andere Websites beziehen ihre Zertifikate direkt von einer vertrauenswürdigen Stelle und nicht von einem Wiederverkäufer. Daher müssen sie nur ihr eigenes Zertifikat bereitstellen, und alles ist nach wie vor auf dem neuesten Stand.

Zum Beispiel hat linode.com das Zertifikat direkt bei Equifax gekauft, dem Mozilla direkt vertraut. Daher muss Linode keine Kopien anderer Zertifikate als die eigenen einbeziehen.


1

Könnte jemand die Bedeutung dieser Fehlermeldung im Klartext erklären ?

upc.biz möchte, dass Sie persönliche Daten eingeben

Um Ihnen zu versichern, dass upc.biz eine von UPC betriebene Website ist, hat upc.biz Ihnen das von Joe Smith unterzeichnete Zertifikat "Sie können upc.biz vertrauen, ich stehe für sie ein" überreicht.

Sie haben keine Ahnung, wer Joe Smith ist. Sie haben eine Liste der Signaturen von Personen, die Microsoft verwendet. Das Mozilla-Projekt gibt an, dass Sie sich wahrscheinlich darauf verlassen können, dass Sie anderen Personen vorgestellt werden, von denen Joe Smith nicht in dieser Liste der Signaturen (Zertifizierungsstellen) steht.

Das Zertifikat ist daher wertlos


Sie können dies testen, indem Sie die vollständige URL von upc.biz ausschneiden und in den Zertifikattester unter http://www.digicert.com/help/ einfügen. Dies richtet sich jedoch an Personen, die Zertifikate auf Websites wie upc.biz einrichten , nicht bei Personen, die auf diese Websites zugreifen.


Auch http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html ist eine gute Lektüre.


Microsoft ist hier nicht beteiligt;)
Bob
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.