Sertifikat tidak dipercaya karena tidak ada rantai penerbit yang disediakan


17

Adakah yang bisa menjelaskan arti pesan kesalahan ini dalam bahasa Inggris ?

Haruskah saya menambahkan pengecualian atau tidak melanjutkan di situs web ini?

Detail teknis: URL ada di sini , browser adalah Firefox 14.0.1 di Ubuntu 12.04 LTS.

Konqueror 4.8.2 mengatakan untuk tautan yang sama:
Sertifikat otoritas sertifikat tidak sah
. Sertifikat otoritas sertifikat akar tidak dipercaya untuk tujuan ini


PEMBARUAN: Saya tidak melakukan apa-apa dengan browser saya dan sekarang ini berfungsi dengan baik, tidak ada pesan kesalahan. Sebuah misteri.


Jika seseorang melihat ini dari perspektif sysadmin: serverfault.com/questions/532262/… berisi info yang berguna.
Keuangan fifi

Jawaban:


14

Sepertinya Anda tidak memiliki CA perantara (Otoritas Sertifikat).

Sertifikat hanya dipercaya karena ditandatangani oleh otoritas sertifikat tepercaya (penerbit), yang pada gilirannya ditandatangani oleh CA tepercaya lainnya, hingga yang terdaftar secara eksplisit dipercaya oleh apa pun yang memverifikasi mereka (CA root). Browser (dan OS) datang dengan daftar CA root. Lihat di sini untuk detail lebih lanjut. Wikipedia juga memiliki penjelasan yang sangat bagus tentang hampir setiap aspek.

Sertifikat situs web tampaknya menentukan AlphaSSLsebagai penerbitnya, yang pada gilirannya menentukan GlobalSign Root CA. Jadi itulah rantainya - sertifikat situs web tidak menyebutkan di GlobalSign Root CAmana pun sehingga jika salah satu dari keduanya tidak ada, Firefox akan mengeluh.

Tangkapan layar sertifikat


Bisakah Anda memverifikasi GlobalSign / AlphaSSL ada di daftar otoritas sertifikat Firefox Anda?

  1. Buka Manajer Sertifikat ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. Periksa Authoritiestab untuk AlphaSSL CA - G2. Itu harus di bawah GlobalSign nv-sa.

    Juga periksa GlobalSign Root CA.

    Tangkapan layar manajer sertifikat

  3. Pilih GlobalSign Root CA, klik Edit Trust, dan verifikasi bahwa diizinkan untuk mengidentifikasi situs web. Setidaknya bagi saya, AlphaSSL tidak memiliki izin itu.


Jika root CA hilang, coba setel ulang toko sertifikat Anda . Pada dasarnya, hapus (atau ganti nama) cert8.db, secmode.dbdan cert_override.txtdari folder profil Anda .

Jika sertifikat perantara hilang, well, merupakan tanggung jawab operator server untuk melayani sertifikat perantara bersama dengan root. Anda harus menghubungi mereka dan memberi tahu mereka. Jika Anda mau, Anda bisa mengambil sertifikat perantara di tempat lain - situs ini terkadang berfungsi untuk beberapa orang karena mereka memiliki perantara perantara yang sudah dipercaya.


Anda mungkin juga ingin mencoba membersihkan cache di Firefox.


Ini mungkin juga merupakan masalah dengan CA yang hilang dari toko sistem Anda, yang akan menjelaskan mengapa Konqueror juga terpengaruh. Saya tahu bahwa, setidaknya di Windows, Firefox mengabaikan penyimpanan sertifikat sistem. Saya tidak terbiasa dengan cara Ubuntu (atau Firefox di Ubuntu) mengelola sertifikat, tetapi masalahnya sama: Anda tampaknya kehilangan CA. Anda harus menambahkannya.

Atau, Anda dapat menambahkan sertifikat situs ke daftar pengecualian. Karena Anda kehilangan CA, ada kemungkinan situs lain akan menampilkan kesalahan serupa - satu-satunya alasan untuk tidak menambahkan CA adalah jika Anda tidak mempercayai mereka. Sertifikat situs ini tampaknya valid, setidaknya menurut sistem saya (meskipun CA dapat mencabut sertifikat). Tentu saja, kecuali Anda entah bagaimana dapat memverifikasi sertifikat sebagai valid, jangan tambahkan pengecualian .


Terima kasih, menurut saya kami dekat dengan solusi. "Periksa pada tab Otoritas untuk AlphaSSL CA - G2 Ini harus di bawah GlobalSign nv-sa." Hal ini tidak ada. Apa yang harus saya lakukan?
Ali

@ Ali Pertama, coba atur ulang toko sertifikat. Jika itu tidak berhasil, periksa untuk melihat apakah GlobalSign Root CAada di sana. Anda dapat mencoba menginstal CA dari situs AlphaSSL (khususnya, tautan ini , crt DER format). Mereka mengatakan ini harus diinstal pada server web, dan tidak perlu diinstal secara manual pada mesin klien, jadi mungkin siapa pun yang menjalankan server lupa sesuatu.
Bob

Perlu diingat bahwa Anda harus yakin Anda bisa mempercayai sertifikat / CA sebelum menambahkannya ke daftar tepercaya. Terutama dalam kasus CA, karena Anda secara implisit mempercayai sertifikat yang mereka keluarkan.
Bob

Maaf saya tidak bisa kembali kepada Anda tepat waktu, saya telah pindah, maka pesanan koneksi Internet baru di UPC :)
Ali

1
@ x-yuri Klik simbol kunci di bilah alamat => Informasi Lebih Lanjut => Lihat Sertifikat. Jika Anda berada di halaman yang tidak dipercaya koneksi, lalu klik I Understand The Risks => Tambahkan Pengecualian dan klik Lihat di sembulan.
Bob

5

Beberapa situs web aman dengan sertifikat dari otoritas tepercaya memiliki konfigurasi yang salah sehingga mereka tidak menyertakan rantai kepercayaan menengah saat melayani sertifikat mereka sendiri.

Jika Anda memiliki sistem / browser yang telah melihat bagiannya dari sertifikat yang valid, perantara tersebut mungkin sudah di-cache, dan Anda tidak akan mendapatkan pesan kesalahan apa pun, bahkan jika konfigurasi server web mereka masih salah seperti di atas.

Namun, jika Anda menggunakan browser yang baru diinstal pada sistem baru, dan perantara tersebut belum di-cache, dan sertifikat yang disajikan oleh server-web tidak memiliki rantai perantara yang sesuai, maka Anda mendapatkan pesan kesalahan.

Berikut adalah penjelasan resmi oleh pengembang Mozilla di milis Mozilla.org:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

Intinya: ini adalah kesalahan situs web, bahkan jika itu hanya terjadi di browser Anda yang baru diinstal, dan berfungsi dengan baik di tempat lain.


Cara mereka memperbaikinya dalam bahasa Inggris:

Mereka membeli sertifikat mereka dari pengecer kepercayaan, dan server web mereka pasti hanya melayani satu sertifikat - milik mereka - yang tidak dipercayai peramban Anda secara langsung, karena mereka membelinya dari pengecer yang belum pernah Anda dengar.

Sekarang, alih-alih hanya melayani satu sertifikat, mereka melayani dua hak secara bersamaan - sertifikat mereka sendiri ("* .upc.biz") dan sertifikat dari beberapa reseller sertifikat ("AlphaSSL CA - G2"), dan sertifikat reseller tersebut melengkapi kepercayaan, karena Anda sekarang melihat bahwa seseorang yang Anda percayai ("GlobalSign Root CA") telah dijamin untuk pengecer kepercayaan tersebut.

Anda dapat melihat detail lebih lanjut tentang nama persis yang terlibat di sini:

http://www.digicert.com/help/?host=web.upc.biz

Beberapa situs web lain membeli sertifikat mereka langsung dari otoritas tepercaya, dan bukan dari pengecer, jadi, mereka hanya perlu melayani sertifikat sendiri, dan semuanya masih akan menjadi tip-top.

Misalnya, linode.com membeli sertifikat mereka langsung dari Equifax, yang dipercayai Mozilla secara langsung, sehingga Linode tidak perlu menyertakan salinan sertifikat apa pun selain milik mereka.


1

Adakah yang bisa menjelaskan arti pesan kesalahan ini dalam bahasa Inggris?

upc.biz ingin Anda mengetikkan detail pribadi

Untuk meyakinkan Anda bahwa upc.biz adalah situs web yang dijalankan oleh UPC, upc.biz telah memberi Anda sertifikat yang mengatakan "Anda bisa mempercayai upc.biz, saya menjamin mereka" tandas Joe Smith.

Anda tidak tahu siapa itu Joe Smith. Anda memiliki daftar tanda tangan orang yang oleh Microsoft Proyek Mozilla mengatakan Anda mungkin dapat mempercayai untuk memperkenalkan Anda kepada orang lain yang mungkin mereka katakan, Joe smith tidak ada dalam daftar tanda tangan itu (Otoritas Sertifikasi).

Karena itu, sertifikat itu tidak berharga


Anda dapat mengujinya dengan memotong URL upc.biz penuh Anda dan menempelkannya ke penguji sertifikat di http://www.digicert.com/help/ - meskipun itu ditujukan untuk orang yang mengatur sertifikat di situs-situs seperti upc.biz , bukan pada orang yang mengakses situs tersebut.


Juga, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html adalah bacaan yang bagus.


Microsoft tidak terlibat di sini;)
Bob
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.