Мой клиент получает сообщение об ошибке sec_error_unknown_issuer при посещении https://mediant.ipmail.nl с Firefox.
Я сам не могу воспроизвести ошибку. Я установил FF на Vista и машину XP и не имел проблем. FF на Ubuntu также отлично работает.
Кто-нибудь получает ту же ошибку, и у кого-нибудь есть некоторые подсказки для меня, поэтому я могу сказать, что мой интернет-провайдер изменил некоторые настройки? Сертификат - это так называемый SSL-сертификат wild-card, который работает для всех поддоменов (*.ipmail.nl). Я ошибался, чтобы выбрать самый дешевый?
У этой проблемы была проблема с сертификатом SSL подстановочного кода Comodo. После прочтения документов решение состоит в том, чтобы убедиться, что вы включили файл цепочки сертификатов, который они отправили вам в вашем конфиге.
SSLCertificateChainFile /etc/ssl/crt/yourSERVERNAME.ca-bundle
Подробная информация о сайте Comodo
У нас была эта проблема, и она была очень специфичной для Firefox - она могла воспроизводиться только в этом браузере: Safari, IE8, Chrome и т.д. все было в порядке.
Для исправления требуется получение обновленного сертификата от Comodo и его установка.
Не знаю, какую магию они изменили, но в сертификате было что-то вроде того, что Firefox не любил.
Firefox более строгий, чем другие браузеры, и требует правильной установки сертификата промежуточного сервера. Это может быть предоставлено органом сертификации, из которого был приобретен сертификат. промежуточный сертификат обычно устанавливается в том же месте, что и серверный сертификат, и требует правильной записи в файле httpd.conf.
в то время как многие из них наказывают Firefox за это (как правило) исключительное "пометку" этого, фактически демонстрируя более высокий уровень стандартов безопасности.
Для nginx выполните это Создайте файл с цепочкой crt с помощью
$ cat www.example.com.crt bundle.crt > www.example.com.chained.crt
Результирующий файл должен использоваться в директиве ssl_certificate:
server {
listen 443 ssl;
server_name www.example.com;
ssl_certificate www.example.com.chained.crt;
ssl_certificate_key www.example.com.key;
...
}
Какая версия Firefox, на какой платформе используется ваш клиент?
Люди, имеющие ту же проблему, что и документальный здесь, в форуме поддержки форума для Firefox. Надеюсь, вы сможете найти там решение. Удачи!
Update:
Пусть ваш клиент проверяет настройки в Firefox: В "Дополнительно" - "Шифрование" есть кнопка "Просмотреть сертификаты". Найдите "Comodo CA Limited" в списке. Я видел, что Comodo является эмитентом сертификата этого доменного имени/сервера. На двух моих компьютерах (FF 3.0.3 на Vista и Mac) запись находится в списке (по умолчанию /Mozilla ).
alt text http://www.softpedia.com/screenshots/Portable-Firefox_8.png
У меня была эта проблема с Firefox и моим сервером. Я связался с поддержкой клиентов GoDaddy, и мне пришлось установить сертификат промежуточного сервера:
http://support.godaddy.com/help/article/868/what-is-an-intermediate-certificate
После повторного запуска службы публикации World Wide Web все работает отлично.
Если у вас нет полного доступа к вашему серверу, ваш интернет-провайдер должен будет сделать это за вас.
Я знаю, что эта ветка немного старая, но мы столкнулись с ней и заархивируем наше возможное решение для других.
У нас была та же проблема с сертификатом "положительный ssl" в Comodo. Мы запускаем наш веб-сайт, используя прокси-сервер SSL с обратной связью squid, и Firefox будет жаловаться на "sec_error_unknown_issuer", как вы заявили, но все остальные браузеры были в порядке.
Я обнаружил, что проблема в том, что цепочка сертификатов является неполной. Firefox, по-видимому, не имеет одного из сертификатов промежуточных сертификатов, хотя Firefox действительно доверяет корневому ЦС. Поэтому вы должны предоставить всю цепочку сертификатов Firefox. Состояния поддержки Comodo:
Промежуточный сертификат - это сертификат или сертификаты, которые идут между вашим сайтом (сервером) сертификат и корневой сертификат. Промежуточный сертификат или сертификаты, завершает цепочку к корневому сертификату, которому доверяет браузер.
Использование промежуточного сертификата означает, что вы должны выполнить дополнительный шаг в процессе установки, чтобы ваш сайт сертификат должен быть привязан к доверенному корню и не показывать ошибки в браузер, когда кто-то посещает ваш веб-сайт.
Это уже было затронуто ранее в этом потоке, но он не изменил, как вы это делаете.
Сначала вам нужно создать цепочку для набора ключей, и вы сделаете это, используя ваш любимый текстовый редактор и просто вставьте их в правильный (обратный) порядок, например.
Точный порядок, который вы можете получить у своего поставщика ssl, если это не очевидно из имен.
Затем сохраните файл как любое другое имя. Например. ваш_домен-цепи bundle.crt
В этом примере я не включил фактический сертификат домена, и пока ваш сервер может быть настроен на использование отдельного набора цепочек сертификатов, это то, что вы используете.
Дополнительные данные можно найти здесь:
Если по какой-то причине вы не можете настроить сервер для использования отдельного связанного пакета, тогда вы просто вставляете сертификат сервера в начале (вверху) пакета и используете полученный файл в качестве сертификата вашего сервера. Это то, что нужно сделать в случае E.g Squid. См. Ниже список рассылки кальмара по этому вопросу.
http://www.squid-cache.org/mail-archive/squid-users/201109/0037.html
Это разрешило это для нас.
Как сказал @user126810, проблема может быть исправлена с помощью правильной директивы SSLCertificateChainFile в файле конфигурации.
Но после исправления конфигурации и перезапуска веб-сервера мне также пришлось перезагрузить Firefox. Без этого Firefox продолжал жаловаться на плохой сертификат (похоже, он использовал кешированный).
Если у вас есть сертификат от COMODO, вам нужно добавить эта строка, файл находится в zip файле, который вы получили.
SSLCertificateChainFile /path/COMODORSADomainValidationSecureServerCA.crt
Июнь 2014 года:
Это конфигурация, которую я использовал, и она отлично работает после нескольких ударов головой о стену. Я использую Express 3.4 (я думаю, что то же самое для Express 4.0)
var privateKey = fs.readFileSync('helpers/sslcert/key.pem', 'utf8');
var certificate = fs.readFileSync('helpers/sslcert/csr.pem', 'utf8');
files = ["COMODORSADomainValidationSecureServerCA.crt",
"COMODORSAAddTrustCA.crt",
"AddTrustExternalCARoot.crt"
];
ca = (function() {
var _i, _len, _results;
_results = [];
for (_i = 0, _len = files.length; _i < _len; _i++) {
file = files[_i];
_results.push(fs.readFileSync("helpers/sslcert/" + file));
}
return _results;
})();
var credentials = {ca:ca, key: privateKey, cert: certificate};
// process.env.PORT : Heroku Config environment
var port = process.env.PORT || 4000;
var app = express();
var server = http.createServer(app).listen(port, function() {
console.log('Express HTTP server listening on port ' + server.address().port);
});
https.createServer(credentials, app).listen(3000, function() {
console.log('Express HTTPS server listening on port ' + server.address().port);
});
// redirect all http requests to https
app.use(function(req, res, next) {
if(!req.secure) {
return res.redirect(['https://mydomain.com', req.url].join(''));
}
next();
});
Затем я перенаправил порты 80 и 443:
sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 4000
sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3000
Как вы можете видеть после проверки моих сертификатов, у меня есть 4 [0,1,2,3]:
openssl s_client -connect mydomain.com:443 -showcerts | grep "^"
[email protected]:~$ openssl s_client -connect mydomain.com:443 -showcerts | grep "^ "
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify error:num=19:self signed certificate in certificate chain
verify return:0
0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=mydomain.com
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
Protocol : TLSv1.1
Cipher : AES256-SHA
Session-ID: 8FDEAEE92ED20742.....3E7D80F93226142DD
Session-ID-ctx:
Master-Key: C9E4AB966E41A85EEB7....4D73C67088E1503C52A9353C8584E94
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 300 (seconds)
TLS session ticket:
0000 - 7c c8 36 80 95 4d 4c 47-d8 e3 ca 2e 70 a5 8f ac |.6..MLG....p...
0010 - 90 bd 4a 26 ef f7 d6 bc-4a b3 dd 8f f6 13 53 e9 ..J&..........S.
0020 - f7 49 c6 48 44 26 8d ab-a8 72 29 c8 15 73 f5 79 .I.HD&.......s.y
0030 - ca 79 6a ed f6 b1 7f 8a-d2 68 0a 52 03 c5 84 32 .yj........R...2
0040 - be c5 c8 12 d8 f4 36 fa-28 4f 0e 00 eb d1 04 ce ........(.......
0050 - a7 2b d2 73 df a1 8b 83-23 a6 f7 ef 6e 9e c4 4c .+.s...........L
0060 - 50 22 60 e8 93 cc d8 ee-42 22 56 a7 10 7b db 1e P"`.....B.V..{..
0070 - 0a ad 4a 91 a4 68 7a b0-9e 34 01 ec b8 7b b2 2f ..J......4...{./
0080 - e8 33 f5 a9 48 11 36 f8-69 a6 7a a6 22 52 b1 da .3..H...i....R..
0090 - 51 18 ed c4 d9 3d c4 cc-5b d7 ff 92 4e 91 02 9e .....=......N...
Start Time: 140...549
Timeout : 300 (sec)
Verify return code: 19 (self signed certificate in certificate chain)
Удачи! PD: если вы хотите получить больше ответов, пожалуйста, проверьте: http://www.benjiegillam.com/2012/06/node-dot-js-ssl-certificate-chain/
Если кто-то еще испытывает эту проблему с помощью Ubuntu LAMP и "COMODO Positive SSL", попробуйте создать собственный пакет из сертификатов в сжатом файле.
cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt > YOURDOMAIN.ca-bundle
Я обойдусь кругами с Firefox 43, El Capitan и установкой WHM/cPanel SSL, постоянно получая ошибку Untrusted site - я не покупал сертификат, который мне был передан, чтобы установить, когда последний парень ходил из двери. Оказывается, я устанавливал в неправильном домене, потому что я пропустил www, но сертификат все еще установлен против домена, когда я установил сертификат в WHM с помощью www.domain.com.au, который он установил, теперь беспокоит, и ошибка FF прошла - сертификат работает отлично как для www, так и для не-www.