Le certificat n'est pas approuvé car aucune chaîne d'émetteur n'a été fournie

17

Quelqu'un pourrait-il expliquer la signification de ce message d'erreur en anglais simple ?

Dois-je ajouter une exception ou ne dois-je pas continuer sur ce site?

Détails techniques: l'URL est ici , le navigateur est Firefox 14.0.1 sur Ubuntu 12.04 LTS.

Konqueror 4.8.2 dit pour le même lien:
Le certificat de l'autorité de certification n'est pas valide
Le certificat de l'autorité de certification racine n'est pas approuvé à cet effet


MISE À JOUR: Je n'ai rien fait avec mon navigateur et maintenant ça marche comme par magie, pas de message d'erreur. Un mystère.

Ali
la source
Si quelqu'un regarde cela du point de vue d'un administrateur système: serverfault.com/questions/532262/… contient des informations utiles.
fifi finance

Réponses:

14

Il semble qu'il vous manque une autorité de certification intermédiaire (autorité de certification).

Les certificats ne sont approuvés que parce qu'ils sont signés par une autorité de certification approuvée (l'émetteur), qui est à son tour signée par une autre autorité de certification approuvée, jusqu'à ceux répertoriés comme étant explicitement approuvés par tout ce qui les vérifie (une autorité de certification racine). Les navigateurs (et OS) sont livrés avec une liste d'autorités de certification racine. Voir ici pour plus de détails. Wikipedia a également une très belle explication sur à peu près tous les aspects.

Le certificat du site Web semble indiquer AlphaSSLson émetteur, qui à son tour le précise GlobalSign Root CA. Voilà donc la chaîne - le certificat du site Web ne mentionne GlobalSign Root CAnulle part, donc si l'un des deux de la chaîne est manquant, Firefox se plaindra.

Capture d'écran du certificat


Pourriez-vous vérifier que GlobalSign / AlphaSSL existe dans votre liste d'autorités de certification Firefox?

  1. Ouvrez le gestionnaire de certificats ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. Vérifiez sur l' Authoritiesonglet pour le AlphaSSL CA - G2. Ça devrait être en dessous GlobalSign nv-sa.

    Vérifiez également GlobalSign Root CA.

    Capture d'écran du gestionnaire de certificats

  3. Sélectionnez GlobalSign Root CA, cliquez Edit Trustet vérifiez qu'il est autorisé à identifier les sites Web. Au moins pour moi, AlphaSSL n'avait pas cette autorisation.


Si les autorités de certification racine sont manquantes, essayez de réinitialiser votre magasin de certificats . Fondamentalement, supprimer (ou renommer) cert8.db, secmode.dbet à cert_override.txtpartir de votre dossier de profil .

Si le certificat intermédiaire est manquant, eh bien, c'est la responsabilité de l'opérateur du serveur de servir le certificat intermédiaire avec la racine. Vous devez les contacter et leur faire savoir. Si vous le souhaitez, vous pouvez récupérer le certificat intermédiaire ailleurs - ces sites fonctionnent parfois pour certaines personnes car ils ont un intermédiaire mis en cache qui est déjà approuvé.


Vous pouvez également essayer de vider votre cache dans Firefox.


Cela pourrait également être un problème avec l'autorité de certification manquante dans vos magasins système, ce qui expliquerait pourquoi Konqueror est également affecté. Je sais que, au moins sous Windows, Firefox ignore le magasin de certificats du système. Je ne sais pas comment Ubuntu (ou Firefox sur Ubuntu) gère les certificats, mais le problème est le même: il semble que vous manquiez une autorité de certification. Vous devrez l'ajouter.

Vous pouvez également ajouter le certificat du site à la liste des exceptions. Comme il vous manque une autorité de certification, il est possible que d'autres sites affichent une erreur similaire - la seule raison de ne pas ajouter l'autorité de certification est si vous ne leur faites pas confiance. Le certificat de ce site semble être valide, du moins selon mon système (bien que les autorités de certification puissent révoquer des certificats). Bien sûr, à moins que vous ne puissiez en quelque sorte vérifier qu'un certificat est valide, n'ajoutez pas d'exception .

Bob
la source
Merci, il me semble que nous sommes proches d'une solution. "Vérifiez sur l'onglet Autorités pour l'AlphaSSL CA - G2. Il devrait être sous GlobalSign nv-sa" Il n'est pas là. Que devrais-je faire?
Ali
@Ali Tout d'abord, essayez de réinitialiser le magasin de certificats. Si cela ne fonctionne pas, vérifiez si le GlobalSign Root CAest là. Vous pouvez essayer d'installer l'autorité de certification à partir du site AlphaSSL (en particulier, ce lien, crt DER format). Ils disent que cela devrait être installé sur le serveur Web et n'a pas besoin d'être installé manuellement sur la machine cliente, il est donc possible que celui qui exécute ce serveur ait oublié quelque chose.
Bob
Gardez à l' esprit que vous devez être sûr que vous pouvez faire confiance à un certificat / CA avant de l' ajouter à votre liste de confiance. Surtout dans le cas d'une autorité de certification, car vous faites implicitement confiance à tout certificat qu'elle émet.
Bob
Désolé, je n'ai pas pu vous revenir en temps opportun, j'ai déménagé, d'où la nouvelle commande de connexion Internet à UPC :)
Ali
1
@ x-yuri Cliquez sur le symbole du cadenas dans la barre d'adresse => Plus d'informations => Afficher le certificat. Si vous étiez sur la page de connexion non approuvée, cliquez sur Je comprends les risques => Ajouter une exception et cliquez sur Afficher dans la fenêtre contextuelle.
Bob
5

Certains sites Web sécurisés avec des certificats d'autorités de confiance ont une configuration incorrecte de sorte qu'ils n'incluent pas une chaîne de certificats de confiance intermédiaires lorsqu'ils servent leur propre certificat.

Si vous avez un système / navigateur qui a vu sa part de certificats valides, ces intermédiaires peuvent déjà être mis en cache et vous n'obtiendrez aucun message d'erreur, même si leur configuration de serveur Web est toujours incorrecte comme ci-dessus.

Cependant, si vous utilisez un navigateur fraîchement installé sur un nouveau système, et que de tels intermédiaires n'étaient pas encore mis en cache, et que le certificat présenté par le serveur Web manque une chaîne appropriée d'intermédiaires, alors vous obtenez un message d'erreur.

Voici une explication officielle par un développeur Mozilla dans une liste de diffusion Mozilla.org:

http://www.mail-archive.com/[email protected]/msg02155.html

Bottom line: c'est la faute du site web, même si cela ne se produit que dans votre navigateur fraîchement installé, et fonctionne bien ailleurs.


Comment ils l'ont corrigé en anglais simple:

Ils ont acheté leur certificat auprès d'un revendeur de confiance, et leur serveur Web ne doit avoir servi qu'un seul certificat - le leur - auquel votre navigateur ne fait pas directement confiance, car il l'a acheté auprès d'un revendeur dont vous n'avez jamais entendu parler.

Maintenant, au lieu de servir un seul certificat, ils en servent deux à la fois - le leur ("* .upc.biz") et celui d'un revendeur de certificats ("AlphaSSL CA - G2"), et le certificat de ce revendeur termine la confiance, puisque vous voyez maintenant que quelqu'un en qui vous avez confiance ("GlobalSign Root CA") a garanti ce revendeur de confiance.

Vous pouvez voir plus de détails sur les noms exacts impliqués ici:

http://www.digicert.com/help/?host=web.upc.biz

Certains autres sites Web achètent leurs certificats directement auprès d'une autorité de confiance, et non auprès d'un revendeur, ils n'ont donc qu'à servir leur propre certificat, et tout restera à la pointe.

Par exemple, linode.com a acheté son certificat directement à Equifax, auquel Mozilla fait directement confiance, il n'est donc pas nécessaire que Linode inclue des copies de tout certificat autre que le leur.

cnst
la source
1

Quelqu'un pourrait-il expliquer la signification de ce message d'erreur en anglais simple?

upc.biz souhaite que vous saisissiez des informations personnelles

Pour vous rassurer que upc.biz est un site géré par UPC, upc.biz vous a présenté un certificat disant "vous pouvez faire confiance à upc.biz, je vous garantis" signé Joe Smith.

Vous ne savez pas qui est Joe Smith. Vous avez une liste de signatures de personnes que Microsoft Le projet Mozilla dit que vous pouvez probablement faire confiance pour vous présenter à d'autres personnes qui sont probablement ce qu'elles prétendent être, Joe Smith ne figure pas dans cette liste de signatures (autorités de certification).

Le certificat est donc sans valeur


Vous pouvez tester cela en coupant votre URL complète upc.biz et en la collant dans le testeur de certificats à http://www.digicert.com/help/ - bien que cela soit destiné aux personnes qui configurent des certificats dans des sites comme upc.biz , pas aux personnes qui accèdent à ces sites.


En outre, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html est une bonne lecture.

RedGrittyBrick
la source
Microsoft n'est pas impliqué ici;)
Bob