由于未提供颁发者链,因此证书不受信任

由于未提供颁发者链,因此证书不受信任

有人能解释一下这个错误信息的含义吗简单英语

我应该添加例外吗或者我应该不是是否继续浏览此网站?

技术细节:网址为这里,浏览器是Ubuntu 12.04 LTS上的Firefox 14.0.1。

Konqueror 4.8.2 对同一链接说:
证书颁发机构的证书无效,
根证书颁发机构的证书不受信任


更新:我没有对浏览器做任何操作,现在它却奇迹般地运行起来了,没有任何错误信息。真是个谜。

答案1

看起来您缺少中间 CA(证书颁发机构)。

证书之所以受信任,是因为它们是由受信任的证书颁发机构(颁发者)签名的,而该颁发机构又由另一个受信任的 CA 签名,直到那些被验证它们的机构(根 CA)明确列为受信任的机构。浏览器(和操作系统)附带一个根 CA 列表。请参阅这里更多细节。维基百科对每个方面都有很好的解释。

网站证书似乎指定AlphaSSL为颁发者,而颁发者又指定了GlobalSign Root CA。这就是链 - 网站的证书没有GlobalSign Root CA在任何地方提及,因此如果链中的两个证书之一缺失,Firefox 就会抱怨。

证书截图


您能否验证 GlobalSign/AlphaSSL 是否存在于您的 Firefox 证书颁发机构列表中?

  1. 打开证书管理器(Tools=> Options=> Advanced=> Encryption=> View Certificates

  2. 检查Authorities标签上的AlphaSSL CA - G2。它应该在 下GlobalSign nv-sa

    另请检查GlobalSign Root CA

    证书管理器的屏幕截图

  3. 选择GlobalSign Root CA,点击Edit Trust,确认是否允许识别网站。至少对我来说,AlphaSSL 没有这个权限。


如果缺少根 CA,请尝试重置证书存储。基本上,删除(或重命名)cert8.dbsecmode.dbcert_override.txt从您的配置文件夹

如果缺少中间证书,那么服务器运营商有责任将中间证书与根证书一起提供。您应该联系他们并告知他们。如果您愿意,您可以在其他地方获取中间证书 - 这些网站有时对某些人有用,因为他们有一个已经受信任的缓存中间证书。


您可能还想尝试清除 Firefox 中的缓存。


这也可能是系统存储中缺少 CA 的问题,这可以解释为什么 Konqueror 也受到影响。我知道,至少在 Windows 上,Firefox 会忽略系统的证书存储。我不熟悉 Ubuntu(或 Ubuntu 上的 Firefox)如何管理证书,但问题是一样的:您似乎缺少 CA。您需要添加它。

或者,您可以将网站的证书添加到例外列表中。由于您缺少 CA,其他网站可能会显示类似的错误 - 不添加 CA 的唯一原因是您不信任他们。这个网站的证书似乎是有效的,至少根据我的系统(尽管 CA 可以撤销证书)。当然,除非您能以某种方式验证证书是否有效,不添加例外

答案2

一些具有来自受信任机构的证书的安全网站配置不正确,以至于它们在提供自己的证书时不包含中间信任证书链。

如果您的系统/浏览器已经看到其有效证书份额,则此类中介可能已被缓存,并且您将不会收到任何错误消息,即使它们的 Web 服务器配置仍然如上所述错误。

但是,如果您在新系统上使用新安装的浏览器,并且此类中介尚未缓存,并且 Web 服务器提供的证书缺少适当的中介链,那么您会收到错误消息。

以下是 Mozilla 开发人员在 Mozilla.org 邮件列表中给出的官方解释:

http://www.mail-archive.com/[电子邮件保护]/msg02155.html

底线:这是网站的故障,即使它只发生在您新安装的浏览器中,而在其他地方运行良好。


用简单的英语来说他们是如何解决这个问题的:

他们从信任的经销商处购买了证书,并且他们的网络服务器肯定只提供一个证书 - 他们自己的证书 - 您的浏览器不直接信任该证书,因为他们是从您从未听说过的经销商处购买的。

现在,他们不再仅仅提供一份证书,而是同时提供两份证书 — — 他们自己的证书(“*.upc.biz”)和某个证书经销商的证书(“AlphaSSL CA - G2”),并且该经销商的证书完成了信任,因为您现在看到您信任的人(“GlobalSign Root CA”)已经为该信任经销商提供了担保。

您可以在此处查看有关具体名称的更多详细信息:

http://www.digicert.com/help/?host=web.upc.biz

其他一些网站直接从可信机构购买证书,而不是从经销商处购买,因此,他们只需要提供自己的证书,一切仍然是最好的。

例如,linode.com 直接从 Equifax 购买了证书,而 Mozilla 直接信任该证书,因此 Linode 无需包含除其自己的证书之外的任何证书的副本。

答案3

有人能解释一下这个错误信息的含义吗用简单的英语?

upc.biz 希望您输入个人信息

为了向您保证 upc.biz 是由 UPC 运营的网站,upc.biz 向您提供了一份证书,上面写着“您可以信任 upc.biz,我为他们担保”,签名为 Joe Smith。

你不知道乔·史密斯是谁。你有一份微软员工的签名名单 Mozilla 项目说你可能信任他们会把你介绍给其他人,而这些人可能就是他们所说的那个人,但乔·史密斯并不在那个签名(认证机构)名单中。

因此该证书毫无价值


您可以通过剪切完整的 upc.biz URL 并将其粘贴到证书测试器中进行测试http://www.digicert.com/help/- 尽管这针对的是那些在 upc.biz 等网站上设置证书的人,而不是访问这些网站的人。


还,http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html是一本值得一读的书。

相关内容