Назад | Перейти на главную страницу

Сертификат не является доверенным, так как сертификат издателя неизвестен. (Код ошибки: sec_error_unknown_issuer) Firefox

Веб-сайт хочет переключить сертификат SSL с Network Solutions на Gandi. Кажется, все установлено правильно, за исключением того, что ошибка возникает только в Firefox. В Chrome и IE ошибок не возникает. Похоже, что что-то не так с путем сертификации. Я пробовал несколько вещей и искал в Google, но проблема не исчезнет. Любые советы будут оценены. Заранее спасибо!

Предпринятые шаги:

Ошибка Firefox:

Technical Details
www.somedomain.org uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
(Error code: sec_error_unknown_issuer)

Иерархия сертификатов Firefox 34:

Gandi Standard SSL CA 2 > somedomain.org

Путь сертификации Chrome 40 и Internet Explorer 11:

USERTRust > USERTrust RSA Certification Authority > Gandi Standard SSL CA 2 > somedomain.org

Результаты тестирования SSL Labs (https://www.ssllabs.com/ssltest/analyze.html):

Additional Certificates (if supplied)
Certificates provided   2 (2851 bytes)
Chain issues    Incomplete
#2
Subject Gandi Standard SSL CA 2 
Fingerprint: 247106a405b288a46e70a0262717162d0903e734
Valid until Wed Sep 11 16:59:59 PDT 2024 (expires in 9 years and 8 months)
Key RSA 2048 bits (e 65537)
Issuer  USERTrust RSA Certification Authority
Signature algorithm SHA384withRSA

Certification Paths
1   Sent by server  somedomain.org 
Fingerprint: 0123456789012345678901234567890123456789 
RSA 2048 bits (e 65537) / SHA256withRSA
2   Sent by server  Gandi Standard SSL CA 2 
Fingerprint: 247106a405b288a46e70a0262717162d0903e734 
RSA 2048 bits (e 65537) / SHA384withRSA
3   Extra download  USERTrust RSA Certification Authority 
Fingerprint: eab040689a0d805b5d6fd654fc168cff00b78be3 
RSA 4096 bits (e 65537) / SHA384withRSA
4   In trust store  AddTrust External CA Root   Self-signed 
Fingerprint: 02faf3e291435468607857694df5e45b68851868 
RSA 2048 bits (e 65537) / SHA1withRSA 
Weak or insecure signature, but no impact on root certificate

Результаты тестирования SSL-Tools (https://ssl-tools.net/webservers/):

Certificate chain
somedomain.org 
1054 days remaining  2048 bit sha256WithRSAEncryption
- Gandi Standard SSL CA 2
- 3537 days remaining  2048 bit sha384WithRSAEncryption
- Root certificate unknown
-- USERTrust RSA Certification Authority

Сервер:

'Центр сертификации USERTrust RSA'не распознается как корневой ЦС на всех платформах. Итак, лучший вариант - использовать его в качестве промежуточного ЦС, имея сертификат, подписанный 'AddTrust Внешний корень CA'.

Вы можете получить этот сертификат на http://crt.usertrust.com/USERTrustRSAAddTrustCA.crt

Правильная установка (наиболее приемлемая) вашего сертификата:

  • Корень хранить
    • AddTrust Внешний корень CA
  • Средний хранить
    • Центр сертификации USERTrust RSA (подписано AddTrust)
    • Стандартный SSL CA 2 Ганди
  • Личное хранить
    • [сертификат вашего сервера]

Windows Server 2008 R2 автоматически управляет доверенными сертификатами, поэтому ваш сервер может получить следующую конфигурацию:

  • Корень хранить
    • AddTrust Внешний корень CA
    • Центр сертификации USERTrust RSA (самоподписанный)
  • Средний хранить
    • Центр сертификации USERTrust RSA (подписано AddTrust)
    • Стандартный SSL CA 2 Ганди
  • Личное хранить
    • [сертификат вашего сервера]

Когда сервер отправляет сертификат, он выбирает кратчайший путь к корню:

  • [сервер] <Ганди <USERTrust (самоподписанный)

И это неполная цепочка для большинства платформ.

Если это ваша проблема, лучшим решением будет найти «USERTrust RSACertification Authority» в корневом хранилище и изменить его свойства на «Отключить все цели для этого сертификата'.

После Вас начать сначала сервер, Windows всегда будет генерировать желаемую цепочку:

  • [сервер] <Ганди <USERTrust <AddTrust