有人能解释一下这个错误信息的含义吗简单英语?
我应该添加例外吗或者我应该不是是否继续浏览此网站?
技术细节:网址为这里,浏览器是Ubuntu 12.04 LTS上的Firefox 14.0.1。
Konqueror 4.8.2 对同一链接说:
证书颁发机构的证书无效,
根证书颁发机构的证书不受信任
更新:我没有对浏览器做任何操作,现在它却奇迹般地运行起来了,没有任何错误信息。真是个谜。
答案1
看起来您缺少中间 CA(证书颁发机构)。
证书之所以受信任,是因为它们是由受信任的证书颁发机构(颁发者)签名的,而该颁发机构又由另一个受信任的 CA 签名,直到那些被验证它们的机构(根 CA)明确列为受信任的机构。浏览器(和操作系统)附带一个根 CA 列表。请参阅这里更多细节。维基百科对每个方面都有很好的解释。
网站证书似乎指定AlphaSSL
为颁发者,而颁发者又指定了GlobalSign Root CA
。这就是链 - 网站的证书没有GlobalSign Root CA
在任何地方提及,因此如果链中的两个证书之一缺失,Firefox 就会抱怨。
您能否验证 GlobalSign/AlphaSSL 是否存在于您的 Firefox 证书颁发机构列表中?
打开证书管理器(
Tools
=>Options
=>Advanced
=>Encryption
=>View Certificates
)检查
Authorities
标签上的AlphaSSL CA - G2
。它应该在 下GlobalSign nv-sa
。另请检查
GlobalSign Root CA
。选择
GlobalSign Root CA
,点击Edit Trust
,确认是否允许识别网站。至少对我来说,AlphaSSL 没有这个权限。
如果缺少根 CA,请尝试重置证书存储。基本上,删除(或重命名)cert8.db
,secmode.db
和cert_override.txt
从您的配置文件夹。
如果缺少中间证书,那么服务器运营商有责任将中间证书与根证书一起提供。您应该联系他们并告知他们。如果您愿意,您可以在其他地方获取中间证书 - 这些网站有时对某些人有用,因为他们有一个已经受信任的缓存中间证书。
您可能还想尝试清除 Firefox 中的缓存。
这也可能是系统存储中缺少 CA 的问题,这可以解释为什么 Konqueror 也受到影响。我知道,至少在 Windows 上,Firefox 会忽略系统的证书存储。我不熟悉 Ubuntu(或 Ubuntu 上的 Firefox)如何管理证书,但问题是一样的:您似乎缺少 CA。您需要添加它。
或者,您可以将网站的证书添加到例外列表中。由于您缺少 CA,其他网站可能会显示类似的错误 - 不添加 CA 的唯一原因是您不信任他们。这个网站的证书似乎是有效的,至少根据我的系统(尽管 CA 可以撤销证书)。当然,除非您能以某种方式验证证书是否有效,不添加例外。
答案2
一些具有来自受信任机构的证书的安全网站配置不正确,以至于它们在提供自己的证书时不包含中间信任证书链。
如果您的系统/浏览器已经看到其有效证书份额,则此类中介可能已被缓存,并且您将不会收到任何错误消息,即使它们的 Web 服务器配置仍然如上所述错误。
但是,如果您在新系统上使用新安装的浏览器,并且此类中介尚未缓存,并且 Web 服务器提供的证书缺少适当的中介链,那么您会收到错误消息。
以下是 Mozilla 开发人员在 Mozilla.org 邮件列表中给出的官方解释:
http://www.mail-archive.com/[电子邮件保护]/msg02155.html
底线:这是网站的故障,即使它只发生在您新安装的浏览器中,而在其他地方运行良好。
用简单的英语来说他们是如何解决这个问题的:
他们从信任的经销商处购买了证书,并且他们的网络服务器肯定只提供一个证书 - 他们自己的证书 - 您的浏览器不直接信任该证书,因为他们是从您从未听说过的经销商处购买的。
现在,他们不再仅仅提供一份证书,而是同时提供两份证书 — — 他们自己的证书(“*.upc.biz”)和某个证书经销商的证书(“AlphaSSL CA - G2”),并且该经销商的证书完成了信任,因为您现在看到您信任的人(“GlobalSign Root CA”)已经为该信任经销商提供了担保。
您可以在此处查看有关具体名称的更多详细信息:
http://www.digicert.com/help/?host=web.upc.biz
其他一些网站直接从可信机构购买证书,而不是从经销商处购买,因此,他们只需要提供自己的证书,一切仍然是最好的。
例如,linode.com 直接从 Equifax 购买了证书,而 Mozilla 直接信任该证书,因此 Linode 无需包含除其自己的证书之外的任何证书的副本。
答案3
有人能解释一下这个错误信息的含义吗用简单的英语?
upc.biz 希望您输入个人信息
为了向您保证 upc.biz 是由 UPC 运营的网站,upc.biz 向您提供了一份证书,上面写着“您可以信任 upc.biz,我为他们担保”,签名为 Joe Smith。
你不知道乔·史密斯是谁。你有一份微软员工的签名名单 Mozilla 项目说你可能信任他们会把你介绍给其他人,而这些人可能就是他们所说的那个人,但乔·史密斯并不在那个签名(认证机构)名单中。
因此该证书毫无价值
您可以通过剪切完整的 upc.biz URL 并将其粘贴到证书测试器中进行测试http://www.digicert.com/help/- 尽管这针对的是那些在 upc.biz 等网站上设置证书的人,而不是访问这些网站的人。
还,http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html是一本值得一读的书。