発行者チェーンが提供されていないため、証明書は信頼されていません


17

誰でもこのエラーメッセージの意味をわかりやすい英語で説明できますか?

例外を追加する必要がありますか、それともこのWebサイトを継続しないでください。

技術的な詳細:URLはこちら、ブラウザはUbuntu 12.04 LTS上のFirefox 14.0.1です。

Konqueror 4.8.2は同じリンクについて次のように述べています:
認証局の証明書は無効です
ルート認証局の証明書はこの目的では信頼されていません


更新:私はブラウザで何もしませんでしたが、今では魔法のように動作し、エラーメッセージは表示されません。謎。


誰かがシステム管理者の観点からこれを見ている場合:serverfault.com/questions/532262/…には有用な情報が含まれています。
fifiファイナンス14年

回答:


14

中間CA(証明書機関)が欠落しているようです。

証明書は、信頼された認証局(発行者)によって署名されているため、証明書は信頼されています。ブラウザ(およびOS)には、ルートCAのリストが付属しています。詳細はこちらをご覧ください。ウィキペディアには、ほぼすべての側面に関する非常に優れた説明もあります。

Webサイトの証明書はAlphaSSL発行者として指定されているように見え、発行者はを指定していますGlobalSign Root CA。これがチェーンです-Webサイトの証明書にはGlobalSign Root CAどこにも記載されていないため、チェーンの2つのいずれかが欠落していると、Firefoxが文句を言います。

証明書のスクリーンショット


Firefoxの認証局リストにGlobalSign / AlphaSSLが存在することを確認できますか?

  1. 証明書マネージャーを開きます(Tools=> Options=> Advanced=> Encryption=> View Certificates

  2. Authoritiesタブを確認してくださいAlphaSSL CA - G2。下にあるはずGlobalSign nv-saです。

    についても確認してくださいGlobalSign Root CA

    証明書マネージャーのスクリーンショット

  3. を選択しGlobalSign Root CA、をクリックしてEdit Trust、Webサイトの識別が許可されていることを確認します。少なくとも私にとっては、AlphaSSLにはその許可がありませんでした。


ルートCAがない場合は、証明書ストアをリセットしてください。基本的には、削除(または名前変更)cert8.dbsecmode.dbそしてcert_override.txtあなたからのプロファイルフォルダ

中間証明書が欠落している場合、ルートとともに中間証明書を提供するのはサーバーオペレーターの責任です。あなたは彼らに連絡し、彼らに知らせるべきです。必要に応じて、他の場所で中間証明書を取得できます。これらのサイトは、既に信頼されているキャッシュされた中間体を持っているため、一部の人にとっては時々機能します。


Firefoxでキャッシュをクリアすることもできます。


これは、システムストアからCAが欠落している問題でもある可能性があります。これは、Konquerorも影響を受ける理由を説明します。少なくともWindowsでは、Firefoxはシステムの証明書ストアを無視することを知っています。Ubuntu(またはUbuntu上のFirefox)が証明書を管理する方法についてはよく知りませんが、問題は同じです。CAが欠落しているようです。追加する必要があります。

または、サイトの証明書を例外リストに追加できます。CAがないため、他のサイトが同様のエラーを表示する可能性があります-CAを追加しない唯一の理由は、それらを信頼しない場合です。少なくとも私のシステムによれば、このサイトの証明書は有効であるようです(ただし、CAは証明書を取り消すことができます)。もちろん、何らかの方法で証明書が有効であると確認できない限り、例外を追加しないください


おかげで、私たちは解決策に近づいているようです。「AlphaSSL CAの権限]タブで確認してください- G2をそれは、GlobalSign NV-SAの下でなければなりません。」それはあるではないが。私は何をすべきか?
アリ

@Ali最初に、証明書ストアをリセットしてみてください。それでもうまくいかない場合は、あるかどうかを確認してくださいGlobalSign Root CAAlphaSSLサイト(特に、このリンクcrt DER format)からCAをインストールしてみてください。彼らはこれをウェブサーバーにインストールする必要があり、クライアントマシンに手動でインストールする必要がないと言っているので、そのサーバーを実行している人は誰でも忘れてしまう可能性があります。
ボブ

ことを覚えておいてください、あなたが確認する必要がありますあなたはあなたの信頼済みリストに追加する前に、証明書/ CAを信頼することができます。特にCAの場合は、発行する証明書を暗黙的に信頼するためです。
ボブ

申し訳ありませんが、タイムリーに返信できませんでした。移動しているため、UPCでの新しいインターネット接続の順序:)
Ali

1
@ x-yuriアドレスバーのロック記号をクリックします=>詳細情報=>証明書を表示します。信頼できない接続ページにいた場合は、[リスクを理解する] => [例外を追加する]をクリックし、ポップアップで[表示]をクリックします。
ボブ

5

信頼できる機関からの証明書を持つ安全なWebサイトの中には、独自の証明書を提供するときに中間の信頼証明書のチェーンを含まないように、誤った構成を持っているものがあります。

有効な証明書の共有を確認したシステム/ブラウザーがある場合、そのような仲介者は既にキャッシュされている可能性があり、上記のようにWebサーバーの設定がまだ間違っていても、エラーメッセージは表示されません。

ただし、新しいシステムで新しくインストールしたブラウザーを使用していて、そのような仲介者がまだキャッシュされておらず、Webサーバーによって提示された証明書に適切な仲介者のチェーンがない場合、エラーメッセージが表示されます。

Mozilla.orgメーリングリストでのMozilla開発者による公式の説明は次のとおりです。

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

結論:新しくインストールしたブラウザーでのみ発生し、他の場所で正常に動作する場合でも、それはWebサイトの障害です。


わかりやすい英語での修正方法:

彼らは信頼の再販業者から証明書を購入しました、そして彼らのウェブサーバーはあなたが聞いたことのない再販業者からそれを購入したので、あなたのブラウザは直接信頼しないただ一つの証明書を提供したに違いありません。

現在、1つの証明書を提供するのではなく、2つの権利を同時に提供しています。独自の証明書( "* .upc.biz")と証明書の再販業者の証明書( "AlphaSSL CA-G2")、およびそのような再販業者の証明書信頼できる人( "GlobalSign Root CA")がそのような信頼の再販業者を保証していることがわかります。

関連する正確な名前の詳細については、こちらをご覧ください。

http://www.digicert.com/help/?host=web.upc.biz

他のWebサイトの中には、リセラーではなく信頼できる機関から直接証明書を購入するものもあるため、独自の証明書を提供するだけで十分です。

たとえば、linode.comは、Mozillaが直接信頼しているEquifaxから証明書を直接購入したため、Linodeが自分の証明書以外の証明書のコピーを含める必要はありません。


1

誰もがこのエラーメッセージの意味をわかりやすい英語で説明できますか?

upc.bizは、個人情報を入力することを希望しています

upc.bizがUPCによって運営されているWebサイトであることを安心させるために、upc.bizは、「upc.bizを信頼できます。私は彼らを保証します」という署名をJoe Smithに提示しました。

ジョースミスが誰なのかわかりません。マイクロソフト のプロジェクトの署名リストがあります。Mozillaプロジェクトは、おそらく自分がそうだと思う他の人に紹介してもらえると信じていると言っています。Joesmithはその署名リスト(認証機関)にいません。

したがって、証明書は価値がありません


これをテストするには、upc.bizの完全なURLを切り取り、http: //www.digicert.com/help/の証明書テスターに​​貼り付けます。ただし、upc.bizのようなサイトで証明書を設定する人を対象としています。 、それらのサイトにアクセスする人ではありません。


また、http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.htmlも参考にしてください


Microsoftはここには関与していません;)
ボブ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.