Einige sichere Websites mit Zertifikaten von vertrauenswürdigen Stellen weisen eine falsche Konfiguration auf, sodass sie keine Kette von Zwischenzertifikaten enthalten, wenn sie ihr eigenes Zertifikat bereitstellen.
Wenn Sie ein System / einen Browser haben, dessen Anteil an gültigen Zertifikaten bereits vorhanden ist, werden diese Intermediäre möglicherweise bereits zwischengespeichert, und es werden keine Fehlermeldungen angezeigt, selbst wenn die oben beschriebene Webserverkonfiguration noch immer falsch ist.
Wenn Sie jedoch einen frisch installierten Browser auf einem neuen System verwenden und diese Intermediäre noch nicht zwischengespeichert wurden und dem vom Webserver vorgelegten Zertifikat eine entsprechende Kette von Intermediären fehlt, wird eine Fehlermeldung angezeigt.
Hier ist eine offizielle Erklärung eines Mozilla-Entwicklers in einer Mozilla.org-Mailingliste:
http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html
Fazit: Es ist die Schuld der Website, auch wenn sie nur in Ihrem frisch installierten Browser auftritt und an anderer Stelle einwandfrei funktioniert.
Wie sie es im Klartext behoben haben:
Sie haben ihr Zertifikat von einem Händler gekauft, von dem Sie noch nie etwas gehört haben, und ihr Webserver muss nur ein Zertifikat bereitgestellt haben - das eigene -, dem Ihr Browser nicht direkt vertraut.
Anstatt nur ein Zertifikat zuzustellen, werden jetzt zwei Zertifikate gleichzeitig bereitgestellt - das eigene ("* .upc.biz") und das eines Zertifikat-Wiederverkäufers ("AlphaSSL CA-G2") sowie das Zertifikat eines solchen Wiederverkäufers Vervollständigt die Vertrauenswürdigkeit, da Sie nun sehen, dass jemand, dem Sie vertrauen ("GlobalSign Root CA"), für einen solchen Vertrauenspersonal bürgt.
Weitere Details zu den genauen Namen finden Sie hier:
http://www.digicert.com/help/?host=web.upc.biz
Einige andere Websites beziehen ihre Zertifikate direkt von einer vertrauenswürdigen Stelle und nicht von einem Wiederverkäufer. Daher müssen sie nur ihr eigenes Zertifikat bereitstellen, und alles ist nach wie vor auf dem neuesten Stand.
Zum Beispiel hat linode.com das Zertifikat direkt bei Equifax gekauft, dem Mozilla direkt vertraut. Daher muss Linode keine Kopien anderer Zertifikate als die eigenen einbeziehen.