60 votes

Overbeeke avatar

Firefox et SSL : sec_error_unknown_issuer

Demandé el 9 de Novembre, 2008
Quand la question a-t-elle été
86034 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Mon client reçoit un sec_error_unknown_issuer message d'erreur lors de la visite https://mediant.ipmail.nl avec Firefox. Je ne peux pas reproduire l'erreur moi-même. J'ai installé FF sur une machine Vista et une machine XP et je n'ai eu aucun problème. FF sur Ubuntu fonctionne également très bien.

Est-ce que quelqu'un obtient la même erreur et est-ce que quelqu'un a des indices pour moi afin que je puisse demander à mon FAI de modifier certains paramètres ? Le certificat est un certificat SSL dit "sauvage" qui fonctionne pour tous les sous-domaines (*.ipmail.nl). Ai-je eu tort de choisir le moins cher ?

Demandé el 9 de Novembre, 2008 par Overbeeke

Réponses

Trop de publicités?

43voto

user126810 avatar
user126810 Points 259

J'ai eu le même problème avec un certificat SSL Comodo Wildcard. Après avoir lu la documentation, la solution est de s'assurer que vous incluez le fichier de la chaîne de certificats qu'ils vous envoient dans votre configuration, c'est à dire

SSLCertificateChainFile /etc/ssl/crt/yourSERVERNAME.ca-bundle

Tous les détails sur Site de Comodo

Répondu el 22 de Juin, 2009 par user126810 (259 Points )

1 votes

Avatar de sstevko

Merci. Pour l'utilisation de lighttpd : ssl.engine = "enable" ssl.pemfile = "/etc/ssl/certs/cert.pem" ssl.ca-file = "/etc/ssl/certs/YourSSLCertAuthorityCA.crt"

Commenté el 28 de Novembre, 2011 par sstevko

0 votes

Avatar de Sych

Vous pouvez télécharger le fichier de la chaîne de certificats de Comodo ici : support.comodo.com/ Installation pour nginx : wiki.nginx.org/HttpSslModule (en fait, il suffit d'ajouter ce que vous téléchargez au fichier de certificat existant).

Commenté el 4 de Février, 2014 par Sych

0 votes

Avatar de lito

Auparavant, je suivais la technique de cet article, mais il s'avère que le paramètre ca du serveur TLS/HTTPS doit être un tableau. Plus que cela, vous ne pouvez pas simplement lui fournir un tableau contenant votre fichier de chaîne comme une chaîne/buffer (i.e. [fs.readFileSync("/path/to/mydomain.ca-bundle")]) puisque le module TLS de Node ne lit que le premier certificat dans chaque entrée de ce tableau.

Commenté el 15 de Juin, 2014 par lito

13voto

Jeff Atwood avatar
Jeff Atwood Points 31111

Nous avons eu ce problème et il était très spécifique à Firefox -- on ne pouvait reproduire que dans ce navigateur, Safari, IE8, Chrome, etc. étaient tous bien.

Réparation nécessaire obtention d'un certificat mis à jour par Comodo et de l'installer.

Je n'ai aucune idée de ce qu'ils ont changé, mais il y avait certainement quelque chose dans le certificat que Firefox n'aimait pas.

Répondu el 28 de Octobre, 2009 par Jeff Atwood (31111 Points )

11voto

GvS avatar
GvS Points 4129

J'utilise nginx et cela m'a aidé : http://nginx.org/en/docs/http/configuring_https_servers.html#chains

Répondu el 17 de Mars, 2012 par GvS (4129 Points )

7voto

Cc65 avatar
Cc65 Points 21

Pour nginx, faites ceci Générez un fichier crt chaîné en utilisant

$ cat www.example.com.crt bundle.crt > www.example.com.chained.crt

Le fichier résultant doit être utilisé dans la directive ssl_certificate :

server {
    listen              443 ssl;
    server_name         www.example.com;
    ssl_certificate     www.example.com.chained.crt;
    ssl_certificate_key www.example.com.key;
    ...
}
Répondu el 28 de Novembre, 2013 par Cc65 (21 Points )

6voto

Jason Clark avatar
Jason Clark Points 39

Firefox est plus rigoureux que les autres navigateurs et exige l'installation d'un certificat de serveur intermédiaire. Celui-ci peut être fourni par l'autorité de certification auprès de laquelle le certificat a été acheté. Le certificat intermédiaire est généralement installé au même endroit que le certificat du serveur et nécessite une entrée appropriée dans le fichier httpd.conf.

Alors que beaucoup critiquent Firefox pour son "signalement" (généralement) exclusif de ce problème, il fait en fait preuve d'un niveau plus élevé de normes de sécurité.

Répondu el 12 de Décembre, 2009 par Jason Clark (39 Points )

0 votes

Avatar de mehaase

-1 Ce n'est absolument pas le cas. Veuillez lire la propre description de Mozilla : wiki.mozilla.org/chaîne_de_certification_incomplète . Le certificat manquant fonctionne parfois (comme dans le cas de l'OP) parce qu'ils mettent en cache les CA intermédiaires qu'ils trouvent dans la nature. Ainsi, mon site fonctionnera dans Chrome avec un certificat intermédiaire manquant si l'utilisateur a déjà visité un autre site qui utilise ce certificat.

Commenté el 10 de Mai, 2013 par mehaase

0 votes

Avatar de michael_n

Commentaire précédent le lien mozilla.org est maintenant 404 ; à la place, voir pertinent : wiki.mozilla.org/Necko/Différences : "D'autres navigateurs ont un traitement de la chaîne de certificats plus robuste ; le nôtre s'embrouille dans certaines situations courantes."

Commenté el 29 de Mai, 2015 par michael_n

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X