El certificado no es confiable porque no se proporcionó ninguna cadena de emisor


17

¿Alguien podría explicar el significado de este mensaje de error en inglés simple ?

Debería agregar una excepción o debería no continuar en este sitio web?

Detalles técnicos: la URL está aquí , el navegador es Firefox 14.0.1 en Ubuntu 12.04 LTS.

Konqueror 4.8.2 dice para el mismo enlace:
El certificado de la autoridad de certificación no es válido
El certificado de la autoridad de certificación raíz no es confiable para este propósito


ACTUALIZACIÓN: No hice nada con mi navegador y ahora funciona mágicamente, no hay mensaje de error. Un misterio.


Si alguien está mirando esto desde una perspectiva de administrador de sistemas: serverfault.com/questions/532262/... contiene información útil.
fifi finance

Respuestas:


14

Parece que le falta una CA (Autoridad de certificación) intermedia.

Los certificados solo son confiables porque están firmados por una autoridad certificadora confiable (el emisor), que a su vez está firmada por otra CA confiable, hasta aquellos enumerados como confiables explícitamente por lo que sea que los esté verificando (una CA raíz). Los navegadores (y sistemas operativos) vienen con una lista de CA raíz. Ver aquí para más detalles. Wikipedia también tiene una muy buena explicación de casi todos los aspectos.

El certificado del sitio web parece especificar AlphaSSLcomo su emisor, que a su vez lo especifica GlobalSign Root CA. Así que esa es la cadena: el certificado del sitio web no menciona en GlobalSign Root CAninguna parte, por lo que si falta alguno de los dos en la cadena, Firefox se quejará.

Captura de pantalla del certificado


¿Podría verificar que GlobalSign / AlphaSSL existe en su lista de autoridades de certificación de Firefox?

  1. Abra el Administrador de certificados ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. Verifique en la Authoritiespestaña el AlphaSSL CA - G2. Debería estar debajo GlobalSign nv-sa.

    También verifique GlobalSign Root CA.

    Captura de pantalla del administrador de certificados

  3. Seleccione GlobalSign Root CA, haga clic Edit Trusty verifique que esté permitido identificar sitios web. Al menos para mí, AlphaSSL no tenía ese permiso.


Si faltan las CA raíz, intente restablecer su almacén de certificados . Básicamente, borrar (o renombrar) cert8.db, secmode.dby cert_override.txtde su carpeta de perfil .

Si falta el certificado intermedio, bueno, es responsabilidad del operador del servidor entregar el certificado intermedio junto con la raíz. Debe contactarlos y hacerles saber. Si lo desea, puede obtener el certificado intermedio en otro lugar: estos sitios a veces funcionan para algunas personas porque tienen un intermedio en caché que ya es confiable.


También puede intentar borrar su caché en Firefox.


Esto también podría ser un problema con la falta de CA en las tiendas de su sistema, lo que explicaría por qué Konqueror también se ve afectado. Sé que, al menos en Windows, Firefox ignora el almacén de certificados del sistema. No estoy familiarizado con la forma en que Ubuntu (o Firefox en Ubuntu) gestiona los certificados, pero el problema es el mismo: parece que le falta una CA. Tendrás que agregarlo.

Alternativamente, puede agregar el certificado del sitio a la lista de excepciones. Dado que le falta una CA, existe la posibilidad de que otros sitios muestren un error similar; la única razón para no agregar la CA es si no confía en ellos. El certificado de este sitio parece ser válido, al menos según mi sistema (aunque las CA pueden revocar los certificados). Por supuesto, a menos que de alguna manera pueda verificar un certificado como válido, no agregue una excepción .


Gracias, me parece que estamos cerca de una solución. "Verificación de la ficha Autoridades para la AlphaSSL CA - G2 Debe estar bajo GlobalSign nv-sa." Es que no existe. ¿Qué tengo que hacer?
Ali

@ Ali Primero, intente restablecer el almacén de certificados. Si eso no funciona, verifique si GlobalSign Root CAestá allí. Puede intentar instalar la CA desde el sitio AlphaSSL (específicamente, este enlace crt DER format). Dicen que esto debe instalarse en el servidor web y no necesita instalarse manualmente en la máquina del cliente, por lo que es posible que quien ejecute ese servidor haya olvidado algo.
Bob

Tenga en cuenta que usted debe estar seguro de que puede confiar en un certificado / CA antes de añadir a la lista de confianza. Especialmente en el caso de una CA, ya que usted confía implícitamente en cualquier certificado que emita.
Bob

Lo siento, no pude responderte a tiempo, me he estado mudando, de ahí el nuevo pedido de conexión a Internet en UPC :)
Ali

1
@ x-yuri Haga clic en el símbolo de candado en la barra de direcciones => Más información => Ver certificado. Si estaba en la página de conexión no confiable, haga clic en Entiendo los riesgos => Agregar excepción y haga clic en Ver en la ventana emergente.
Bob

5

Algunos sitios web seguros con certificados de autoridades confiables tienen una configuración incorrecta, de modo que no incluyen una cadena de certificados de confianza intermedios cuando sirven su propio certificado.

Si tiene un sistema / navegador que ha visto su parte de certificados válidos, es posible que dichos intermediarios ya estén almacenados en caché y no recibirá ningún mensaje de error, incluso si la configuración de su servidor web sigue siendo incorrecta como se indicó anteriormente.

Sin embargo, si está utilizando un navegador recién instalado en un sistema nuevo, y dichos intermediarios aún no se almacenaron en caché, y al certificado presentado por el servidor web le falta una cadena adecuada de intermediarios, recibirá un mensaje de error.

Aquí hay una explicación oficial de un desarrollador de Mozilla en una lista de correo de Mozilla.org:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

En pocas palabras: es culpa del sitio web, incluso si solo ocurre en su navegador recién instalado, y funciona bien en otros lugares.


Cómo lo arreglaron en inglés simple:

Compraron su certificado de un revendedor de confianza, y su servidor web solo debe haber servido un certificado, el suyo, en el cual su navegador no confía directamente, ya que lo compraron de un revendedor del que nunca ha oído hablar.

Ahora, en lugar de servir solo un certificado, sirven dos al mismo tiempo: el suyo ("* .upc.biz") y el de algún revendedor de certificados ("AlphaSSL CA - G2"), y el certificado de dicho revendedor completa la confianza, ya que ahora ve que alguien en quien confía ("GlobalSign Root CA") ha garantizado dicho revendedor de confianza.

Puede ver más detalles sobre los nombres exactos involucrados aquí:

http://www.digicert.com/help/?host=web.upc.biz

Algunos otros sitios web compran sus certificados directamente de una autoridad confiable y no de un revendedor, por lo tanto, solo necesitan entregar su propio certificado, y todo seguirá siendo excelente.

Por ejemplo, linode.com compró su certificado directamente de Equifax, en el que Mozilla confía directamente, por lo que no es necesario que Linode incluya copias de ningún certificado que no sea el suyo.


1

¿Alguien podría explicar el significado de este mensaje de error en inglés simple?

upc.biz quiere que escriba datos personales

Para asegurarle que upc.biz es un sitio web administrado por UPC, upc.biz le ha presentado un certificado que dice "puede confiar en upc.biz, les respondo", firmó Joe Smith.

No tienes idea de quién es Joe Smith. Tienes una lista de firmas de personas que Microsoft proyecta en Mozilla dice que probablemente puedas confiar para presentarte a otras personas que probablemente sean quienes dicen que son, Joe Smith no está en esa lista de firmas (Autoridades de certificación).

Por lo tanto, el certificado no tiene valor.


Puede probar esto cortando su URL de upc.biz completa y pegándola en el probador de certificados en http://www.digicert.com/help/ , aunque está dirigida a personas que configuran certificados en sitios como upc.biz , no a las personas que acceden a esos sitios.


Además, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html es una buena lectura.


Microsoft no está involucrado aquí;)
Bob
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.