Устранение проблем с сертификатами

8160
Weezy

Я пытаюсь получить доступ к моей (Европейскому парламенту) веб-почте с компьютера Linux / Firefox по следующему адресу, и я получаю предупреждающие сообщения, объясняющие, что идентификация сайта не может быть подтверждена (сообщение об ошибке на французском языке).

Но это происходит только с Linux / Firefox с одной машины.

Вот адрес:

https://webmail.europarl.europa.eu/

(и я пытаюсь получить к нему доступ из своего дома, а не из EP).

А вот подробное сообщение об ошибке:

webmail.europarl.europa.eu использует сертификат инвалидов.

Сертификат и свидетельство о легкомысленном сертификате не имеют смысла.

(Кодекс ошибки: sec_error_unknown_issuer)

Перевод с французского на английский

webmail.europarl.europa.eu использует недействительный сертификат безопасности.

Сертификат не является доверенным, поскольку орган, выдавший сертификат, неизвестен.

(Код ошибки: SEC_ERROR_UNKNOWN_ISSUER)

Таким образом, в основном, если я перевожу, это говорит о том, что сертификат webmail.europarl.europa.eu недействителен, потому что орган, предоставивший сертификат, неизвестен. Я получаю только этот недействительный сертификат в Linux / Firefox.

От MacBookPro под управлением Safari я перехожу к правильной странице входа в веб-почту.

С той же машины Linux, но используя другую учетную запись пользователя и Chrome вместо Firefox, я перехожу к тому, что выглядит как правильная страница входа в веб-почту.

Так что есть несколько возможностей, вот несколько:

  1. Firefox прав, и моя коробка Linux была взломана
  2. Firefox прав и обнаруживает то, что ни Chrome, ни Safari не обнаруживают (например, мой маршрутизатор, который может быть взломан)
  3. Safari на MacBook Pro и Chrome на Linux оба корректны, и только Firefox на Linux ошибочно подчеркивает меня, когда все в порядке.

Как я узнаю, какая из этих возможностей (или любых других) верна?

Как я могу выяснить, что происходит с Linux / Firefox или с веб-почтой парламента?

2

1 ответ на вопрос

3
grawity

Не совсем № 3, но близко.

https://webmail.europarl.europa.eu/использует сертификат SSL, выданный GlobalSign, который Mozilla делает включать в себя в качестве доверенного центра сертификации.

Тем не мение,

  • сертификат подписан не непосредственно корневым центром сертификации GlobalSign, а центром проверки домена GlobalSign, который, в свою очередь, подписан корневым центром сертификации ;
  • webmail.europarl.europa.euсервер настроен неправильно, и только отправляет свой собственный сертификат, а не полной цепочки сертификатов;
  • У Mozilla нет промежуточного CA-сертификата, только корневой CA.

Из-за этого у Firefox недостаточно информации для проверки сертификата сервера веб-почты.

Другое программное обеспечение делает включает как GlobalSign Root и GlobalSign Domain Validation сертификаты, так что в состоянии построить цепочку сертификатов на своем собственном. (Я проверил Windows XP и браузер Opera; у меня нет доступа к системе Mac OS X, и я не могу сейчас установить Chrome на Linux.)

Вы можете:

  • Nag администратора сервера, чтобы исправить цепочку сертификатов;

  • установить промежуточный сертификат CA проверки домена GlobalSign в Firefox;

    • скопируйте содержимое текстовой области в файл с именем, аналогичным GlobalSign Domain Validation.crt

    • Firefox - Инструменты - Параметры - Дополнительно - Шифрование - Просмотр сертификатов - Полномочия - Импорт

  • добавить исключение в Firefox для сайта веб-почты.

    Отпечаток SHA-1 для текущего сертификата https://webmail.europarl.europa.eu/, как видно с моей стороны:

    0e c3 96 ba 12 94 ea 15 96 fc 28 2a d4 d4 12 2a 6b 79 a5 7a
+1 большое спасибо за подробную информацию! Это отличный ответ / объяснение. Я установлю сертификат в свой Firefox и проверю SHA-1, который вы мне прислали. Спасибо :) Weezy 13 лет назад 0

Похожие вопросы