Firefox和SSL:sec_error_unknown_issuer

使用Firefox访问https://mediant.ipmail.nl时,我的客户端收到sec_error_unknown_issuer错误消息。 我不能自己重现错误。 我在Vista和XP机器上安装了FF,没有问题。 在Ubuntu上FF也工作正常。

有没有人得到相同的错误,有没有人有一些线索,所以我可以告诉我的ISP改变一些设置? 证书是所谓的通配符SSL证书,适用于所有子域(* .ipmail.nl)。 我挑错最便宜的吗?

刚刚有与Comodo Wildcard SSL证书相同的问题。 阅读文档后,解决scheme是确保你包含他们发送给你的证书链文件

 SSLCertificateChainFile /etc/ssl/crt/yourSERVERNAME.ca-bundle 

在Comodo网站上的全部细节

我们有这个问题,这是非常多的Firefox具体 – 只能在该浏览器,Safari浏览器,IE8,铬等再罚款。

修复它需要从Comodo获得更新的证书并安装它。

不知道他们改变了什么魔法,但是肯定是Firefox不喜欢的证书。

Firefox比其他浏览器更为严格,并且需要正确安装中间服务器证书。 这可以由证书授权机构提供,证书是从中购买的。 中间证书通常安装在与服务器证书相同的位置,并要求在httpd.conf文件中正确input。

而许多人则认为火狐浏览器(通常)是排他性的,这实际上certificate了更高级别的安全标准。

对于nginx做到这一点使用生成链接的crt文件

 $ cat www.example.com.crt bundle.crt > www.example.com.chained.crt 

生成的文件应该在ssl_certificate指令中使用:

 server { listen 443 ssl; server_name www.example.com; ssl_certificate www.example.com.chained.crt; ssl_certificate_key www.example.com.key; ... } 

您的客户使用哪个平台的哪个版本的Firefox?

这些问题与Firefox支持论坛中logging的问题相同。 我希望你能find解决scheme。 祝你好运!

更新:

让你的客户端检查在Firefox的设置:在“高级” – “encryption”有一个button“查看证书”。 在列表中查找“Comodo CA Limited” 。 我看到Comodo是该域名/服务器证书的颁发者。 在我的两台机器上(Vista和Mac上的FF 3.0.3),条目在列表中(默认为/ Mozilla)。

替代文字screenshots/Portable-Firefox_8.png

我有这个问题与Firefox和我的服务器。 我联系了GoDaddy客户支持,他们让我安装中间服务器证书:

http://support.godaddy.com/help/article/868/what-is-an-intermediate-certificate

万维网发布服务重新启动后,一切正常。

如果您没有完全访问您的服务器,您的ISP将不得不为您这样做。

我知道这个线程有点旧了,但是我们也遇到了这个问题,并且会把我们最终的解决scheme归档到其他地方。

我们遇到了与Comodo通配符“正向ssl”证书相同的问题。 我们正在使用squid-reverse SSL代理运行我们的网站,Firefox会继续抱怨“sec_error_unknown_issuer”,但是其他浏览器都是正常的。

我发现这是一个证书链不完整的问题。 Firefox显然没有内置的中间证书之一,尽pipeFirefox确实信任根CA. 因此,您必须向Firefox提供整个证书链。 科摩多的支持状态:

中间证书是指位于您的站点(服务器)证书和根证书之间的证书或证书。 中间证书或证书完成链接到浏览器信任的根证书。

使用中间证书意味着您必须在安装过程中完成额外的步骤,以使您的站点证书链接到受信任的根目录,并且在有人访问您的网站时不会在浏览器中显示错误。

在这个主题中早就已经谈到了这个问题,但是它并没有解决你如何做到这一点。

首先,您必须制作一个链接的证书包,然后使用您最喜欢的文本编辑器进行操作,并以正确的(反向)顺序将其粘贴进去

  • 中级CA证书2 – IntermediateCA2.crt – 位于文件顶部
  • 中级CA证书1 – IntermediateCA1.crt
  • 根CA证书 – root.crt – 在文件末尾

如果从名称不明显,您可以从您的SSL提供商获得确切的顺序。

然后将文件保存为您喜欢的任何名称。 例如yourdomain-chain-bundle.crt

在这个例子中,我没有包括实际的域名证书,只要你的服务器可以configuration成独立的链接证书包,这就是你使用的。

更多的数据可以在这里find:

https://support.comodo.com/index.php?/Knowledgebase/Article/View/643/0/how-do-i-make-my-own-bundle-file-from-crt-files

如果出于某种原因,您不能将服务器configuration为使用单独的链接捆绑包,那么您只需将该服务器证书粘贴到捆绑包的开头(顶部),并将生成的文件用作服务器证书。 这就是Eg Squid案件需要做的事情。 从这个主题的鱿鱼邮件列表见下面。

http://www.squid-cache.org/mail-archive/squid-users/201109/0037.html

这解决了我们。

正如@ user126810所说的,问题可以通过在configuration文件中使用正确的SSLCertificateChainFile指令来解决。

但是在修改configuration并重新启动Web服务器之后,我也必须重新启动Firefox 。 没有这一点,Firefox继续抱怨证书不正确(看起来像使用caching的证书)。

如果您从COMODO获得了您的证书,则需要添加此行,该文件位于您收到的zip文件中。

 SSLCertificateChainFile /path/COMODORSADomainValidationSecureServerCA.crt 

2014年6月:

这是我使用的configuration,在我的头撞在墙上好几天后,它工作得很好。 我使用Express 3.4(我认为Express 4.0是一样的)

 var privateKey = fs.readFileSync('helpers/sslcert/key.pem', 'utf8'); var certificate = fs.readFileSync('helpers/sslcert/csr.pem', 'utf8'); files = ["COMODORSADomainValidationSecureServerCA.crt", "COMODORSAAddTrustCA.crt", "AddTrustExternalCARoot.crt" ]; ca = (function() { var _i, _len, _results; _results = []; for (_i = 0, _len = files.length; _i < _len; _i++) { file = files[_i]; _results.push(fs.readFileSync("helpers/sslcert/" + file)); } return _results; })(); var credentials = {ca:ca, key: privateKey, cert: certificate}; // process.env.PORT : Heroku Config environment var port = process.env.PORT || 4000; var app = express(); var server = http.createServer(app).listen(port, function() { console.log('Express HTTP server listening on port ' + server.address().port); }); https.createServer(credentials, app).listen(3000, function() { console.log('Express HTTPS server listening on port ' + server.address().port); }); // redirect all http requests to https app.use(function(req, res, next) { if(!req.secure) { return res.redirect(['https://mydomain.com', req.url].join('')); } next(); }); 

然后我redirect了80和443端口:

 sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 4000 sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3000 

正如你可以看到我的authentication后,我有4 [0,1,2,3]:

openssl s_client -connect mydomain.com:443 -showcerts | grep“^”

 ubuntu@ip-172-31-5-134:~$ openssl s_client -connect mydomain.com:443 -showcerts | grep "^ " depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root verify error:num=19:self signed certificate in certificate chain verify return:0 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=mydomain.com i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root Protocol : TLSv1.1 Cipher : AES256-SHA Session-ID: 8FDEAEE92ED20742.....3E7D80F93226142DD Session-ID-ctx: Master-Key: C9E4AB966E41A85EEB7....4D73C67088E1503C52A9353C8584E94 Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 300 (seconds) TLS session ticket: 0000 - 7c c8 36 80 95 4d 4c 47-d8 e3 ca 2e 70 a5 8f ac |.6..MLG....p... 0010 - 90 bd 4a 26 ef f7 d6 bc-4a b3 dd 8f f6 13 53 e9 ..J&..........S. 0020 - f7 49 c6 48 44 26 8d ab-a8 72 29 c8 15 73 f5 79 .I.HD&.......sy 0030 - ca 79 6a ed f6 b1 7f 8a-d2 68 0a 52 03 c5 84 32 .yj........R...2 0040 - be c5 c8 12 d8 f4 36 fa-28 4f 0e 00 eb d1 04 ce ........(....... 0050 - a7 2b d2 73 df a1 8b 83-23 a6 f7 ef 6e 9e c4 4c .+.s...........L 0060 - 50 22 60 e8 93 cc d8 ee-42 22 56 a7 10 7b db 1e P"`.....BV.{.. 0070 - 0a ad 4a 91 a4 68 7a b0-9e 34 01 ec b8 7b b2 2f ..J......4...{./ 0080 - e8 33 f5 a9 48 11 36 f8-69 a6 7a a6 22 52 b1 da .3..H...i....R.. 0090 - 51 18 ed c4 d9 3d c4 cc-5b d7 ff 92 4e 91 02 9e .....=......N... Start Time: 140...549 Timeout : 300 (sec) Verify return code: 19 (self signed certificate in certificate chain) 

祝你好运! PD:如果你想要更多的答案,请检查: http : //www.benjiegillam.com/2012/06/node-dot-js-ssl-certificate-chain/

如果其他人遇到Ubuntu LAMP和“COMODO Positive SSL”的问题,请尝试从压缩文件中的证书构build自己的包。

cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt > YOURDOMAIN.ca-bundle

我正在围绕着Firefox 43,El Capitan和WHM / cPanel SSL安装,不断得到Untrusted站点错误 – 我没有购买它被交给我安装的证书,因为最后一个人走出了门。 原来我是在错误的域名下安装,因为我错过了www – 但证书仍然安装在域名上,当我使用www.domain.com.au安装在WHM的证书时,现在安装了这个担心,FF错误已经消失 – 证书适用于www和非www。