那些遇到过的问题

该证书不受信任,因为未提供颁发者链

Ali*_*Ali 17 firefox https certificate ssl ssl-certificate

谁能用简单的英语解释此错误消息的含义?

我应该添加例外还是应该继续访问该网站?

技术细节:网址在这里,浏览器是 Firefox 14.0.1 on Ubuntu 12.04 LTS。

Konqueror 4.8.2 对同一链接说:
The certificate authority's certificate is invalid
The root certificate authority's certificate is not trust for this purpose

更新:我没有用我的浏览器做任何事情,现在它神奇地工作,没有错误消息。一个谜。

Bob*_*Bob 14

看起来您缺少中间 CA(证书颁发机构)。

证书之所以受信任,是因为它们是由受信任的证书颁发机构(颁发者)签署的,而该颁发机构又由另一个受信任的 CA 签署,直到被任何验证它们的人(根 CA)明确信任。浏览器(和操作系统)带有根 CA 列表。请参阅此处了解更多详情。维基百科也对几乎每个方面都有很好的解释。

网站证书似乎指定AlphaSSL为其颁发者,而后者又指定了GlobalSign Root CA. 所以这就是链条 - 网站的证书没有提到GlobalSign Root CA任何地方,所以如果链条中的两个缺失,Firefox 会抱怨。

证书截图

您能否验证您的 Firefox 证书颁发机构列表中是否存在 GlobalSign/AlphaSSL?

  1. 打开证书管理器 ( Tools=> Options=> Advanced=> Encryption=> View Certificates)

  2. 检查Authorities选项卡上的AlphaSSL CA - G2. 它应该在GlobalSign nv-sa.

    还要检查GlobalSign Root CA.

    证书管理器截图

  3. 选择GlobalSign Root CA,单击Edit Trust,然后验证是否允许识别网站。至少对我来说,AlphaSSL 没有那个权限。

如果根 CA 丢失,请尝试重置您的证书存储。基本上,删除(或重命名)cert8.dbsecmode.dbcert_override.txt从您的配置文件文件夹中删除。

如果缺少中间证书,那么服务器运营商有责任将中间证书与根一起提供。你应该联系他们并让他们知道。如果你愿意,你可以在别处获取中间证书——这些站点有时对某些人有用,因为他们有一个已经受信任的缓存中间证书。

您可能还想尝试清除 Firefox 中的缓存。

这也可能是您的系统存储中缺少 CA 的问题,这可以解释为什么 Konqueror 也会受到影响。我知道,至少在 Windows 上,Firefox 会忽略系统的证书存储。我不熟悉 Ubuntu(或 Ubuntu 上的 Firefox)如何管理证书,但问题是一样的:您似乎缺少 CA。你需要添加它。

或者,您可以将站点的证书添加到例外列表中。由于您缺少 CA,其他站点可能会显示类似错误 - 不添加 CA 的唯一原因是您不信任它们。这个站点的证书似乎是有效的,至少根据我的系统(尽管 CA 可以撤销证书)。当然,除非您能以某种方式验证证书是否有效,否则不要添加异常

cns*_*nst 5

一些具有受信任机构颁发的证书的安全网站的配置不正确,因此它们在提供自己的证书时不包含中间信任证书链。

如果您的系统/浏览器已经看到其有效证书的份额,则此类中介可能已经被缓存,并且您不会收到任何错误消息,即使它们的 Web 服务器配置仍然如上所述错误。

但是,如果您在新系统上使用新安装的浏览器,并且此类中介尚未缓存,并且网络服务器提供的证书缺少适当的中介链,那么您会收到一条错误消息。

这是 Mozilla 开发人员在 Mozilla.org 邮件列表中的官方解释:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

底线:这是网站的错,即使它只发生在您新安装的浏览器中,并且在其他地方运行良好。

他们是如何用简单的英语修复它的:

他们从信任的经销商那里购买了他们的证书,并且他们的网络服务器必须只提供一个证书——他们自己的——你的浏览器不直接信任它,因为他们是从你从未听说过的经销商那里购买的。

现在,他们不再只提供一个证书,而是同时提供两个证书——他们自己的(“*.upc.biz”)和某个证书经销商的证书(“AlphaSSL CA - G2”),以及该经销商的证书完成信任,因为您现在看到您信任的某个人(“GlobalSign 根 CA”)为此类信任经销商提供担保。

您可以在此处查看有关确切名称的更多详细信息:

http://www.digicert.com/help/?host=web.upc.biz

其他一些网站直接从受信任的机构而不是从经销商处购买他们的证书,因此,他们只需要提供自己的证书,一切仍然是顶级的。

例如,linode.com 直接从 Mozilla 直接信任的 Equifax 购买了他们的证书,因此 Linode 不需要包含他们自己以外的任何证书的任何副本。

归档时间:

查看次数:

67188 次

最近记录:

11 年,7 月 前
相关归档
Firefox - 默认情况下启用“全部突出显示”按钮 53
如何在 Firefox 中隐藏浏览器插件详细信息以获得更多隐私? 16
如何在 Firefox 中合并 2 个窗口 16
崩溃后,Firefox 将打开的窗口/选项卡/URL 存储在哪里以进行会话恢复? 14
如何为 Firefox 搜索创建“关键字快捷方式”? 6
Firefox 超过 2GB,标签不多,性能不稳定 5
如何在 Linux 上打印/显示“p12”证书的“用户主体名称”或 UPN? 5
在 Firefox 中禁用自动 www 插入 5
导出firefox插件的软件 4
解密包含密钥和证书的 PEM 2
难疑归档
如何将快捷方式或批处理文件固定到新的 Windows 7、8 和 10 任务栏和开始菜单? 295
如何连接到只有 IPv6 地址没有域名的网站? 201
将列转换为逗号分隔的列表 157
为什么我的电脑只有在我的猫在附近时才会崩溃? 139
如何将所有文件从当前目录移动到上层目录? 137
bash 是否有在执行命令之前运行的钩子? 129
如何在 alpine linux 中安装 npm 128
Windows 10 中当前桌面背景的路径? 119
如何在不执行 /etc/vimrc 的情况下启动 vim? 110
我应该如何处理 com.apple.quarantine? 107