प्रमाण पत्र पर भरोसा नहीं किया जाता है क्योंकि कोई जारीकर्ता श्रृंखला प्रदान नहीं की गई थी

क्या कोई भी सादे अंग्रेजी में इस त्रुटि संदेश का अर्थ समझा सकता है ?

क्या मुझे एक अपवाद जोड़ना चाहिए या मुझे इस वेबसाइट पर जारी नहीं रखना चाहिए ?

तकनीकी विवरण: URL यहां है , ब्राउज़र Ubuntu 12.04 LTS पर फ़ायरफ़ॉक्स 14.0.1 है।

कोनकेर 4.8.2 उसी लिंक के लिए कहता है:
प्रमाणपत्र प्राधिकारी का प्रमाण पत्र अमान्य है
जड़ प्रमाणपत्र प्राधिकारी का प्रमाण पत्र इस उद्देश्य के लिए विश्वसनीय नहीं है

अद्यतन: मैंने अपने ब्राउज़र के साथ कुछ नहीं किया और अब यह जादुई रूप से काम करता है, कोई त्रुटि संदेश नहीं। एक रहस्य।

— अली
स्रोत

यदि कोई इसे व्यंग्यात्मक दृष्टिकोण से देख रहा है: serverfault.com/questions/532262/… में उपयोगी जानकारी है।

— गुका

जवाबों:

ऐसा लगता है कि आप एक मध्यवर्ती सीए (प्रमाणपत्र प्राधिकरण) को याद कर रहे हैं।

प्रमाणपत्रों पर केवल इसलिए भरोसा किया जाता है क्योंकि उन पर एक विश्वसनीय प्रमाणपत्र प्राधिकरण (जारीकर्ता) द्वारा हस्ताक्षरित किया जाता है, जो बदले में एक और विश्वसनीय सीए द्वारा हस्ताक्षरित होता है, जो उन लोगों द्वारा स्पष्ट रूप से विश्वसनीय के रूप में सूचीबद्ध होता है जो उन्हें (रूट सीए) सत्यापित कर रहे हैं। ब्राउज़र (और OSes) रूट CA की सूची के साथ आते हैं। अधिक जानकारी के लिए यहां देखें । विकिपीडिया में भी हर पहलू के बारे में बहुत अच्छी व्याख्या है।

वेबसाइट प्रमाणपत्र AlphaSSLअपने जारीकर्ता के रूप में निर्दिष्ट होता है , जो बदले में निर्दिष्ट करता है GlobalSign Root CA। तो यह श्रृंखला है - वेबसाइट का प्रमाण पत्र GlobalSign Root CAकहीं भी उल्लेख नहीं करता है, यदि श्रृंखला में दोनों में से कोई भी गायब है, तो फ़ायरफ़ॉक्स शिकायत करेगा।

प्रमाण पत्र का स्क्रीनशॉट

क्या आप सत्यापित कर सकते हैं GlobalSign / AlphaSSL आपके फ़ायरफ़ॉक्स प्रमाणपत्र प्राधिकारी सूची में मौजूद है?

प्रमाणपत्र प्रबंधक ( Tools=> Options=> Advanced=> Encryption=> View Certificates) खोलें
के लिए Authoritiesटैब पर जाँच करें AlphaSSL CA - G2। इसके तहत होना चाहिए GlobalSign nv-sa।

के लिए भी जाँच करें GlobalSign Root CA।
चयन करें GlobalSign Root CA, क्लिक करें Edit Trustऔर सत्यापित करें कि इसे वेबसाइटों की पहचान करने की अनुमति है। कम से कम मेरे लिए, अल्फाएसएसएल के पास वह अनुमति नहीं थी।

यदि रूट CA गायब है, तो अपने प्रमाणपत्र स्टोर को रीसेट करने का प्रयास करें । मूल रूप से, हटाएं (या नाम बदलें) cert8.db, secmode.dbऔर cert_override.txtअपने प्रोफ़ाइल फ़ोल्डर से ।

यदि मध्यवर्ती प्रमाणपत्र गायब है, तो ठीक है, यह रूट के साथ मध्यवर्ती प्रमाण पत्र की सेवा करने के लिए सर्वर ऑपरेटर की जिम्मेदारी है। आपको उनसे संपर्क करना चाहिए और उन्हें बताना चाहिए। यदि आप चाहें, तो आप मध्यवर्ती प्रमाण पत्र को कहीं और ले जा सकते हैं - ये साइट कभी-कभी कुछ लोगों के लिए काम करती हैं क्योंकि उनके पास एक कैश्ड मध्यवर्ती है जो पहले से ही विश्वसनीय है।

आप फ़ायरफ़ॉक्स में अपने कैश को साफ़ करने का भी प्रयास कर सकते हैं।

यह CA आपके सिस्टम स्टोर से गायब होने के साथ एक समस्या भी हो सकती है, जो बताती है कि कोनकेर भी प्रभावित क्यों है। मुझे पता है कि, कम से कम विंडोज पर, फ़ायरफ़ॉक्स सिस्टम के सर्टिफिकेट स्टोर की उपेक्षा करता है। मैं इस बात से परिचित नहीं हूं कि उबंटू (या उबंटू पर फ़ायरफ़ॉक्स) प्रमाण पत्र कैसे प्रबंधित करता है, लेकिन मुद्दा एक ही है: आप एक सीए को याद करते हुए दिखाई देते हैं। आपको इसे जोड़ना होगा।

वैकल्पिक रूप से, आप अपवाद सूची में साइट का प्रमाणपत्र जोड़ सकते हैं। चूंकि आप एक सीए को याद कर रहे हैं, इसलिए एक मौका है कि अन्य साइटें एक समान त्रुटि प्रदर्शित करेंगी - सीए को जोड़ने का एकमात्र कारण यह है कि यदि आप उन पर भरोसा नहीं करते हैं। इस साइट का प्रमाणपत्र मान्य प्रतीत होता है, कम से कम मेरे सिस्टम के अनुसार (हालांकि सीए प्रमाण पत्र रद्द कर सकते हैं)। बेशक, जब तक आप किसी प्रमाणपत्र को वैध के रूप में सत्यापित नहीं कर सकते, तब तक अपवाद न जोड़ें ।

— बॉब
स्रोत

धन्यवाद, यह मुझे लगता है कि हम एक समाधान के करीब हैं। "अल्फाएसएसएल सीए - जी 2 के लिए प्राधिकरण टैब पर जांच करें। यह ग्लोबलसिग्न एनवी-सा के तहत होना चाहिए" यह वहां नहीं है। मुझे क्या करना चाहिए?

— अली

@ पहले, प्रमाणपत्र स्टोर को रीसेट करने का प्रयास करें। यदि वह काम नहीं करता है, तो यह देखने के लिए जांचें कि क्या GlobalSign Root CAहै। आप अल्फाएसएसएल साइट (विशेष रूप से, इस लिंक crt DER format) से सीए को स्थापित करने का प्रयास कर सकते हैं । वे कहते हैं कि इसे वेबसर्वर पर स्थापित किया जाना चाहिए, और क्लाइंट मशीन पर मैन्युअल रूप से इंस्टॉल करने की आवश्यकता नहीं है, इसलिए यह संभव है कि जो कोई भी उस सर्वर को चलाता है वह कुछ भूल गया हो।

— बॉब

ध्यान रखें कि रखें आप यकीन होना चाहिए कि आप अपनी विश्वसनीय सूची में जोड़ने से पहले एक प्रमाण पत्र / सीए भरोसा कर सकते हैं। विशेष रूप से सीए के मामले में, क्योंकि आप किसी भी प्रमाण पत्र पर भरोसा करते हैं जो वे जारी करते हैं।

— बॉब

क्षमा करें, मैं आपके लिए समय पर वापस नहीं आ सका, मैं आगे बढ़ रहा हूं, इसलिए UPC पर नया इंटरनेट कनेक्शन आदेश :)

— अली

@ x-yuri एड्रेस बार में लॉक सिंबल पर क्लिक करें => अधिक जानकारी => प्रमाण पत्र देखें। यदि आप कनेक्शन अविश्वसनीय पृष्ठ पर थे, तो I समझें जोखिम = = अपवाद जोड़ें और पॉपअप में दृश्य पर क्लिक करें।

— बॉब

विश्वसनीय अधिकारियों के प्रमाणपत्रों के साथ कुछ सुरक्षित वेब-साइटों में गलत कॉन्फ़िगरेशन है, जैसे कि वे अपने स्वयं के प्रमाण पत्र की सेवा करते समय विश्वास के मध्यवर्ती प्रमाणपत्रों की एक श्रृंखला को शामिल नहीं करते हैं।

यदि आपके पास एक ऐसा सिस्टम / ब्राउज़र है, जिसने वैध प्रमाणपत्रों की अपनी हिस्सेदारी देखी है, तो ऐसे मध्यस्थों को पहले ही कैश किया जा सकता है, और आपको कोई त्रुटि संदेश नहीं मिलेगा, भले ही उनका वेब-सर्वर कॉन्फ़िगरेशन अभी भी ऊपर के रूप में गलत हो।

हालाँकि, यदि आप एक नए सिस्टम पर नए सिरे से स्थापित ब्राउज़र का उपयोग कर रहे हैं, और इस तरह के बिचौलियों को अभी तक कैश नहीं किया गया है, और वेब-सर्वर द्वारा प्रस्तुत प्रमाण पत्र बिचौलियों की एक उपयुक्त श्रृंखला को याद कर रहा है, तो आपको एक त्रुटि संदेश मिलता है।

मोज़िला में एक मोज़िला डेवलपर द्वारा आधिकारिक विवरण यहाँ दिया गया है। मेलिंग सूची:

http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html

नीचे पंक्ति: यह वेब-साइट का दोष है, भले ही यह केवल आपके हौसले से स्थापित ब्राउज़र में होता है, और कहीं और ठीक काम करता है।

उन्होंने इसे सादे अंग्रेजी में कैसे तय किया है:

उन्होंने अपने प्रमाणपत्र को विश्वास के पुनर्विक्रेता से खरीदा है, और उनका वेब-सर्वर केवल एक ही प्रमाण-पत्र दे रहा होगा - उनका स्वयं का - जिस पर आपके ब्राउज़र को सीधे भरोसा नहीं है, क्योंकि उन्होंने इसे एक पुनर्विक्रेता से खरीदा है, जिसके बारे में आपने कभी नहीं सुना होगा।

अब, केवल एक प्रमाण पत्र की सेवा के बजाय, वे एक ही समय में दो अधिकार देते हैं - अपने स्वयं के ("* .upc.biz") और कुछ प्रमाण पत्र पुनर्विक्रेता ("अल्फाएसएसएल सीए - जी 2"), और ऐसे पुनर्विक्रेता के प्रमाण पत्र विश्वास पूरा करता है, क्योंकि अब आप देखते हैं कि जिस पर आप भरोसा करते हैं ("GlobalSign Root CA") ने इस तरह के पुनर्विक्रेता के लिए विश्वास किया है।

आप यहाँ शामिल सटीक नामों के बारे में अधिक जानकारी देख सकते हैं:

http://www.digicert.com/help/?host=web.upc.biz

कुछ अन्य वेब-साइटें अपने प्रमाणपत्र सीधे किसी विश्वसनीय प्राधिकारी से खरीदती हैं, न कि पुनर्विक्रेता से, इसलिए, उन्हें केवल अपने स्वयं के प्रमाणपत्र की आवश्यकता होती है, और सब कुछ अभी भी टिप-टॉप होगा।

उदाहरण के लिए, linode.com ने अपने प्रमाण पत्र को इक्विफैक्स से सीधे खरीदा, जिस पर मोज़िला सीधे भरोसा करता है, इसलिए लिनोड के लिए अपने स्वयं के अलावा किसी भी प्रमाण पत्र की किसी भी प्रतियां को शामिल करने की कोई आवश्यकता नहीं है।

— CNST
स्रोत

क्या कोई भी सादे अंग्रेजी में इस त्रुटि संदेश का अर्थ समझा सकता है ?

upbiz आपको व्यक्तिगत विवरण टाइप करना चाहता है

आपको यह आश्वस्त करने के लिए कि upc.biz UPC द्वारा चलाई जा रही एक वेबसाइट है, upc.biz ने आपको एक प्रमाण पत्र प्रदान किया है जिसमें कहा गया है कि "आप upc.biz पर भरोसा कर सकते हैं, मैं उनके लिए प्रतिज्ञा करता हूं" जो स्मिथ पर हस्ताक्षर किए हैं।

आपको कोई अंदाजा नहीं है कि जो स्मिथ कौन हैं। आपके पास लोगों के हस्ताक्षरों की एक सूची है जो ~~Microsoft~~ मोज़िला परियोजना का कहना है कि आप शायद उन अन्य लोगों से मिलवाने पर भरोसा कर सकते हैं जो संभवत: यह कहते हैं कि वे जो हैं, जो smith हस्ताक्षर (प्रमाणीकरण अधिकारियों) की उस सूची में नहीं है।

प्रमाणपत्र इसलिए बेकार है

आप अपने पूर्ण upc.biz URL को काटकर और इसे सर्टिफ़िकेट परीक्षक को http://www.digicert.com/help/ पर चिपकाकर परीक्षण कर सकते हैं - हालाँकि इसका उद्देश्य उन लोगों के लिए है जो upc.biz जैसी साइटों में प्रमाणपत्र सेट करते हैं उन लोगों तक नहीं, जो उन साइटों तक पहुंचते हैं।

इसके अलावा, http://www.schneier.com/blog/archives/2010/09/uae_man-in-the-.html एक अच्छा पढ़ा है।

— RedGrittyBrick
स्रोत

Microsoft यहाँ शामिल नहीं है;)

— बॉब