¿Alguien podría explicar el significado de este mensaje de error en inglés simple ?
Debería agregar una excepción o debería no continuar en este sitio web?
Detalles técnicos: la URL está aquí , el navegador es Firefox 14.0.1 en Ubuntu 12.04 LTS.
Konqueror 4.8.2 dice para el mismo enlace:
El certificado de la autoridad de certificación no es válido
El certificado de la autoridad de certificación raíz no es confiable para este propósito
ACTUALIZACIÓN: No hice nada con mi navegador y ahora funciona mágicamente, no hay mensaje de error. Un misterio.
Respuestas:
Parece que le falta una CA (Autoridad de certificación) intermedia.
Los certificados solo son confiables porque están firmados por una autoridad certificadora confiable (el emisor), que a su vez está firmada por otra CA confiable, hasta aquellos enumerados como confiables explícitamente por lo que sea que los esté verificando (una CA raíz). Los navegadores (y sistemas operativos) vienen con una lista de CA raíz. Ver aquí para más detalles. Wikipedia también tiene una muy buena explicación de casi todos los aspectos.
El certificado del sitio web parece especificar
AlphaSSL
como su emisor, que a su vez lo especificaGlobalSign Root CA
. Así que esa es la cadena: el certificado del sitio web no menciona enGlobalSign Root CA
ninguna parte, por lo que si falta alguno de los dos en la cadena, Firefox se quejará.¿Podría verificar que GlobalSign / AlphaSSL existe en su lista de autoridades de certificación de Firefox?
Abra el Administrador de certificados (
Tools
=>Options
=>Advanced
=>Encryption
=>View Certificates
)Verifique en la
Authorities
pestaña elAlphaSSL CA - G2
. Debería estar debajoGlobalSign nv-sa
.También verifique
GlobalSign Root CA
.Seleccione
GlobalSign Root CA
, haga clicEdit Trust
y verifique que esté permitido identificar sitios web. Al menos para mí, AlphaSSL no tenía ese permiso.Si faltan las CA raíz, intente restablecer su almacén de certificados . Básicamente, borrar (o renombrar)
cert8.db
,secmode.db
ycert_override.txt
de su carpeta de perfil .Si falta el certificado intermedio, bueno, es responsabilidad del operador del servidor entregar el certificado intermedio junto con la raíz. Debe contactarlos y hacerles saber. Si lo desea, puede obtener el certificado intermedio en otro lugar: estos sitios a veces funcionan para algunas personas porque tienen un intermedio en caché que ya es confiable.
También puede intentar borrar su caché en Firefox.
Esto también podría ser un problema con la falta de CA en las tiendas de su sistema, lo que explicaría por qué Konqueror también se ve afectado. Sé que, al menos en Windows, Firefox ignora el almacén de certificados del sistema. No estoy familiarizado con la forma en que Ubuntu (o Firefox en Ubuntu) gestiona los certificados, pero el problema es el mismo: parece que le falta una CA. Tendrás que agregarlo.
Alternativamente, puede agregar el certificado del sitio a la lista de excepciones. Dado que le falta una CA, existe la posibilidad de que otros sitios muestren un error similar; la única razón para no agregar la CA es si no confía en ellos. El certificado de este sitio parece ser válido, al menos según mi sistema (aunque las CA pueden revocar los certificados). Por supuesto, a menos que de alguna manera pueda verificar un certificado como válido, no agregue una excepción .
fuente
GlobalSign Root CA
está allí. Puede intentar instalar la CA desde el sitio AlphaSSL (específicamente, este enlacecrt DER format
). Dicen que esto debe instalarse en el servidor web y no necesita instalarse manualmente en la máquina del cliente, por lo que es posible que quien ejecute ese servidor haya olvidado algo.Algunos sitios web seguros con certificados de autoridades confiables tienen una configuración incorrecta, de modo que no incluyen una cadena de certificados de confianza intermedios cuando sirven su propio certificado.
Si tiene un sistema / navegador que ha visto su parte de certificados válidos, es posible que dichos intermediarios ya estén almacenados en caché y no recibirá ningún mensaje de error, incluso si la configuración de su servidor web sigue siendo incorrecta como se indicó anteriormente.
Sin embargo, si está utilizando un navegador recién instalado en un sistema nuevo, y dichos intermediarios aún no se almacenaron en caché, y al certificado presentado por el servidor web le falta una cadena adecuada de intermediarios, recibirá un mensaje de error.
Aquí hay una explicación oficial de un desarrollador de Mozilla en una lista de correo de Mozilla.org:
http://www.mail-archive.com/[email protected]/msg02155.html
En pocas palabras: es culpa del sitio web, incluso si solo ocurre en su navegador recién instalado, y funciona bien en otros lugares.
Cómo lo arreglaron en inglés simple:
Compraron su certificado de un revendedor de confianza, y su servidor web solo debe haber servido un certificado, el suyo, en el cual su navegador no confía directamente, ya que lo compraron de un revendedor del que nunca ha oído hablar.
Ahora, en lugar de servir solo un certificado, sirven dos al mismo tiempo: el suyo ("* .upc.biz") y el de algún revendedor de certificados ("AlphaSSL CA - G2"), y el certificado de dicho revendedor completa la confianza, ya que ahora ve que alguien en quien confía ("GlobalSign Root CA") ha garantizado dicho revendedor de confianza.
Puede ver más detalles sobre los nombres exactos involucrados aquí:
http://www.digicert.com/help/?host=web.upc.biz
Algunos otros sitios web compran sus certificados directamente de una autoridad confiable y no de un revendedor, por lo tanto, solo necesitan entregar su propio certificado, y todo seguirá siendo excelente.
Por ejemplo, linode.com compró su certificado directamente de Equifax, en el que Mozilla confía directamente, por lo que no es necesario que Linode incluya copias de ningún certificado que no sea el suyo.
fuente
upc.biz quiere que escriba datos personales
Para asegurarle que upc.biz es un sitio web administrado por UPC, upc.biz le ha presentado un certificado que dice "puede confiar en upc.biz, les respondo", firmó Joe Smith.
No tienes idea de quién es Joe Smith. Tienes una lista de firmas de personas que
Microsoftproyecta en Mozilla dice que probablemente puedas confiar para presentarte a otras personas que probablemente sean quienes dicen que son, Joe Smith no está en esa lista de firmas (Autoridades de certificación).Por lo tanto, el certificado no tiene valor.
Puede probar esto cortando su URL de upc.biz completa y pegándola en el probador de certificados en http://www.digicert.com/help/ , aunque está dirigida a personas que configuran certificados en sitios como upc.biz , no a las personas que acceden a esos sitios.
Además, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html es una buena lectura.
fuente