O certificado não é confiável porque o certificado do emissor é desconhecido. (Código de erro: sec_error_unknown_issuer) Firefox

Navegue suas respostas
6

Um site quer mudar um certificado SSL da Network Solutions para o Gandi. Tudo parecia estar instalado corretamente, exceto que há um erro sendo lançado apenas no Firefox. No Chrome e no IE, não há erros sendo lançados. Parece que há algo errado com o caminho de certificação. Eu tentei algumas coisas e pesquisei, mas o problema não desaparece. Qualquer dica seria apreciada. Obrigado antecipadamente!

Passos tentados:

  • Certificado intermediário adquirido da Gandi por instruções no link (certificado padrão SHA2)
  • Adicionado o Certificado intermediário Gandi ao servidor (MMC > Certificados > Autoridades de certificação intermediárias > Certificados)
  • Certificado da Autoridade de Certificação RSA do USERTRust adquirido da SSL-Tools em link
  • Adicionado o certificado da Autoridade de Certificação USERTrust RSA ao servidor (MMC > Certificados > Autoridades de Certificação Raiz Confiáveis > Certificados)
  • Reiniciando o IIS após cada instalação.
  • Limpando o cache do navegador local após cada instalação.

Erro do Firefox: 

Technical Details
www.somedomain.org uses an invalid security certificate.
The certificate is not trusted because the issuer certificate is unknown.
(Error code: sec_error_unknown_issuer)

Hierarquia do certificado do Firefox 34: 

Gandi Standard SSL CA 2 > somedomain.org

Caminho de certificação do Chrome 40 e do Internet Explorer 11: 

USERTRust > USERTrust RSA Certification Authority > Gandi Standard SSL CA 2 > somedomain.org

Resultados do teste do SSL Labs ( link ): 

Additional Certificates (if supplied)
Certificates provided   2 (2851 bytes)
Chain issues    Incomplete
#2
Subject Gandi Standard SSL CA 2 
Fingerprint: 247106a405b288a46e70a0262717162d0903e734
Valid until Wed Sep 11 16:59:59 PDT 2024 (expires in 9 years and 8 months)
Key RSA 2048 bits (e 65537)
Issuer  USERTrust RSA Certification Authority
Signature algorithm SHA384withRSA

Certification Paths
1   Sent by server  somedomain.org 
Fingerprint: 0123456789012345678901234567890123456789 
RSA 2048 bits (e 65537) / SHA256withRSA
2   Sent by server  Gandi Standard SSL CA 2 
Fingerprint: 247106a405b288a46e70a0262717162d0903e734 
RSA 2048 bits (e 65537) / SHA384withRSA
3   Extra download  USERTrust RSA Certification Authority 
Fingerprint: eab040689a0d805b5d6fd654fc168cff00b78be3 
RSA 4096 bits (e 65537) / SHA384withRSA
4   In trust store  AddTrust External CA Root   Self-signed 
Fingerprint: 02faf3e291435468607857694df5e45b68851868 
RSA 2048 bits (e 65537) / SHA1withRSA 
Weak or insecure signature, but no impact on root certificate

Resultados do teste SSL-Tools ( link ): 

Certificate chain
somedomain.org 
1054 days remaining  2048 bit sha256WithRSAEncryption
- Gandi Standard SSL CA 2
- 3537 days remaining  2048 bit sha384WithRSAEncryption
- Root certificate unknown
-- USERTrust RSA Certification Authority

Servidor:

  • Windows Server 2008 R2
  • IIS 7.5
por jiminy 06.01.2015 / 08:27

1 resposta

11

' Autoridade de Certificação USERTrust RSA ' não é reconhecida como uma CA raiz em todas as plataformas. Portanto, a melhor opção é usá-lo como uma CA intermediária, com um certificado assinado por ' AddTrust External CA Root '.

Você pode recuperar este certificado em link

A instalação correta (mais aceita) do seu certificado é:

  • Loja Raiz
    • Raiz da CA externa AddTrust
  • Loja Intermediária
    • Autoridade de Certificação USERTrust RSA (assinada por AddTrust)
    • Gandi Standard SSL CA 2
  • Loja pessoal
    • [seu certificado de servidor]

O Windows Server 2008 R2 gerencia automaticamente certificados confiáveis, para que seu servidor possa obter a próxima configuração:

  • Loja Raiz
    • Raiz da CA externa AddTrust
    • Autoridade de Certificação USERTrust RSA (autoassinado)
  • Loja Intermediária
    • Autoridade de Certificação USERTrust RSA (assinada por AddTrust)
    • Gandi Standard SSL CA 2
  • Loja pessoal
    • [seu certificado de servidor]

Quando o servidor envia o certificado, ele escolhe o caminho mais curto para o root:

  • [servidor] < Gandi < USERTrust (auto-assinado)

E essa é uma cadeia incompleta para a maioria das plataformas.

Se esse for o seu problema, a melhor solução é localizar a 'USERTrust RSACertification Authority' no armazenamento raiz e editar suas propriedades para ' Desativar todas as finalidades para este certificado '.

Após você reiniciar o servidor, o Windows sempre gerará a cadeia desejada:

  • [servidor] < Gandi < USERTrust < AddTrust
por 09.01.2015 / 11:16

Tags

Como posso automatizar a implementação de atualizações do Cisco IOS? O que são pontes de link de site