由于未提供颁发者链，因此证书不受信任

Question 1

看起来您缺少中间 CA（证书颁发机构）。

证书之所以受信任，是因为它们是由受信任的证书颁发机构（颁发者）签名的，而该颁发机构又由另一个受信任的 CA 签名，直到那些被验证它们的机构（根 CA）明确列为受信任的机构。浏览器（和操作系统）附带一个根 CA 列表。请参阅这里更多细节。维基百科对每个方面都有很好的解释。

网站证书似乎指定AlphaSSL为颁发者，而颁发者又指定了GlobalSign Root CA。这就是链 - 网站的证书没有GlobalSign Root CA在任何地方提及，因此如果链中的两个证书之一缺失，Firefox 就会抱怨。

证书截图

您能否验证 GlobalSign/AlphaSSL 是否存在于您的 Firefox 证书颁发机构列表中？

打开证书管理器（Tools=> Options=> Advanced=> Encryption=> View Certificates）
检查Authorities标签上的AlphaSSL CA - G2。它应该在下GlobalSign nv-sa。

另请检查GlobalSign Root CA。
选择GlobalSign Root CA，点击Edit Trust，确认是否允许识别网站。至少对我来说，AlphaSSL 没有这个权限。

如果缺少根 CA，请尝试重置证书存储。基本上，删除（或重命名）cert8.db，secmode.db和cert_override.txt从您的配置文件夹。

如果缺少中间证书，那么服务器运营商有责任将中间证书与根证书一起提供。您应该联系他们并告知他们。如果您愿意，您可以在其他地方获取中间证书 - 这些网站有时对某些人有用，因为他们有一个已经受信任的缓存中间证书。

您可能还想尝试清除 Firefox 中的缓存。

这也可能是系统存储中缺少 CA 的问题，这可以解释为什么 Konqueror 也受到影响。我知道，至少在 Windows 上，Firefox 会忽略系统的证书存储。我不熟悉 Ubuntu（或 Ubuntu 上的 Firefox）如何管理证书，但问题是一样的：您似乎缺少 CA。您需要添加它。

或者，您可以将网站的证书添加到例外列表中。由于您缺少 CA，其他网站可能会显示类似的错误 - 不添加 CA 的唯一原因是您不信任他们。这个网站的证书似乎是有效的，至少根据我的系统（尽管 CA 可以撤销证书）。当然，除非您能以某种方式验证证书是否有效，不添加例外。

Answer

看起来您缺少中间 CA（证书颁发机构）。

证书之所以受信任，是因为它们是由受信任的证书颁发机构（颁发者）签名的，而该颁发机构又由另一个受信任的 CA 签名，直到那些被验证它们的机构（根 CA）明确列为受信任的机构。浏览器（和操作系统）附带一个根 CA 列表。请参阅这里更多细节。维基百科对每个方面都有很好的解释。

网站证书似乎指定AlphaSSL为颁发者，而颁发者又指定了GlobalSign Root CA。这就是链 - 网站的证书没有GlobalSign Root CA在任何地方提及，因此如果链中的两个证书之一缺失，Firefox 就会抱怨。

证书截图

您能否验证 GlobalSign/AlphaSSL 是否存在于您的 Firefox 证书颁发机构列表中？

打开证书管理器（Tools=> Options=> Advanced=> Encryption=> View Certificates）
检查Authorities标签上的AlphaSSL CA - G2。它应该在下GlobalSign nv-sa。

另请检查GlobalSign Root CA。
选择GlobalSign Root CA，点击Edit Trust，确认是否允许识别网站。至少对我来说，AlphaSSL 没有这个权限。

如果缺少根 CA，请尝试重置证书存储。基本上，删除（或重命名）cert8.db，secmode.db和cert_override.txt从您的配置文件夹。

如果缺少中间证书，那么服务器运营商有责任将中间证书与根证书一起提供。您应该联系他们并告知他们。如果您愿意，您可以在其他地方获取中间证书 - 这些网站有时对某些人有用，因为他们有一个已经受信任的缓存中间证书。

您可能还想尝试清除 Firefox 中的缓存。

这也可能是系统存储中缺少 CA 的问题，这可以解释为什么 Konqueror 也受到影响。我知道，至少在 Windows 上，Firefox 会忽略系统的证书存储。我不熟悉 Ubuntu（或 Ubuntu 上的 Firefox）如何管理证书，但问题是一样的：您似乎缺少 CA。您需要添加它。

或者，您可以将网站的证书添加到例外列表中。由于您缺少 CA，其他网站可能会显示类似的错误 - 不添加 CA 的唯一原因是您不信任他们。这个网站的证书似乎是有效的，至少根据我的系统（尽管 CA 可以撤销证书）。当然，除非您能以某种方式验证证书是否有效，不添加例外。

Question 2

一些具有来自受信任机构的证书的安全网站配置不正确，以至于它们在提供自己的证书时不包含中间信任证书链。

如果您的系统/浏览器已经看到其有效证书份额，则此类中介可能已被缓存，并且您将不会收到任何错误消息，即使它们的 Web 服务器配置仍然如上所述错误。

但是，如果您在新系统上使用新安装的浏览器，并且此类中介尚未缓存，并且 Web 服务器提供的证书缺少适当的中介链，那么您会收到错误消息。

以下是 Mozilla 开发人员在 Mozilla.org 邮件列表中给出的官方解释：

http://www.mail-archive.com/[电子邮件保护]/msg02155.html

底线：这是网站的故障，即使它只发生在您新安装的浏览器中，而在其他地方运行良好。

用简单的英语来说他们是如何解决这个问题的：

他们从信任的经销商处购买了证书，并且他们的网络服务器肯定只提供一个证书 - 他们自己的证书 - 您的浏览器不直接信任该证书，因为他们是从您从未听说过的经销商处购买的。

现在，他们不再仅仅提供一份证书，而是同时提供两份证书 — — 他们自己的证书（“*.upc.biz”）和某个证书经销商的证书（“AlphaSSL CA - G2”），并且该经销商的证书完成了信任，因为您现在看到您信任的人（“GlobalSign Root CA”）已经为该信任经销商提供了担保。

您可以在此处查看有关具体名称的更多详细信息：

http://www.digicert.com/help/?host=web.upc.biz

其他一些网站直接从可信机构购买证书，而不是从经销商处购买，因此，他们只需要提供自己的证书，一切仍然是最好的。

例如，linode.com 直接从 Equifax 购买了证书，而 Mozilla 直接信任该证书，因此 Linode 无需包含除其自己的证书之外的任何证书的副本。

Answer