Почему Firefox показывает предупреждение SSL

В Ubuntu 14.10 (Firefox 36.0.1) этот сайт отображает предупреждение SSL:

https://robot.your-server.de/

(sec_error_unknown_issuer)

Однако на моей машине Lubuntu 14.04 также с Firefox 36.0.1 предупреждений нет.

Что конкретно означает это предупреждение и является ли это потенциальной угрозой?

2 ответа

Решение

Это похоже на типичную проблему, когда сервер не отправляет полную цепочку сертификатов, как описано здесь.

Но на этот раз у него есть еще один интересный момент: если вы проверяете сайт с помощью SSLLabs, он не сообщает о проблемах цепочки. Если вы используете openssl s_client... для подключения к сайту это также показывает, что сайт отправляет полную цепочку (включая корневой сертификат, чего не следует). Но если вы используете другие инструменты для проверки, вы можете потерпеть неудачу, потому что сайт отправляет только ведущий сертификат и пропускает необходимые цепные сертификаты.

Мне потребовалось некоторое время, чтобы понять это, но в конце концов он оказался неправильно настроенным сервером: пока вы используете IPv4, сервер возвращает полную цепочку сертификатов, но если вы используете IPv6, сервер возвращает только листовой сертификат. Это означает, что все успешные инструменты использовали IPv4, все инструменты с ошибками использовали IPv6. Что касается браузеров: сбойный браузер должен был использовать IPv6, другой мог бы также использовать его, но этот сертификат мог быть кэширован при посещении других сайтов с использованием того же цепного сертификата.

Проверьте время и дату вашей системы. Иногда предупреждения SSL являются результатом неправильной установки времени и даты компьютера, что означает, что сертификат недействителен (либо слишком новый, либо слишком старый).

У меня была эта проблема на моем собственном веб-сайте, которая была решена после того, как я фактически установил системное время на точное время.

Другие вопросы по тегам