your solucion secure sec_error_unknown_issuer not mozilla_pkix_error_mitm_detected insecure firefox ssl

sec_error_unknown_issuer - your connection is not secure firefox solucion



Firefox y SSL: sec_error_unknown_issuer (13)

¿Qué versión de Firefox usa tu plataforma?

Las personas tienen el mismo problema que el documentado aquí en el Foro de soporte para Firefox . Espero que puedas encontrar una solución allí. ¡Buena suerte!

Actualizar:

Deje que su cliente verifique la configuración en Firefox: en "Avanzado" - "Cifrado", hay un botón "Ver certificados". Busque "Comodo CA Limited" en la lista. Vi que Comodo es el emisor del certificado de ese nombre de dominio / servidor. En dos de mis máquinas (FF 3.0.3 en Vista y Mac) la entrada está en la lista (por defecto / Mozilla).

texto alternativo http://www.softpedia.com/screenshots/Portable-Firefox_8.png

Mi cliente recibe un mensaje de error sec_error_unknown_issuer cuando visita https://mediant.ipmail.nl con Firefox. No puedo reproducir el error yo mismo. Instalé FF en una máquina Vista y XP y no tuve problemas. FF en Ubuntu también funciona bien.

¿Alguien tiene el mismo error y alguien tiene algunas pistas para mí, así que puedo decirle a mi ISP que cambie algunas configuraciones? El certificado es un llamado certificado SSL comodín que funciona para todos los subdominios (* .ipmail.nl). ¿Me equivoqué al elegir el más barato?


Como dijo @ user126810, el problema se puede solucionar con una directiva adecuada SSLCertificateChainFile en el archivo de configuración.

Pero después de arreglar la configuración y reiniciar el servidor web, también tuve que reiniciar Firefox . Sin eso, Firefox continuó quejándose de un certificado incorrecto (parece que usó uno en caché).


Firefox es más estricto que otros navegadores y requerirá una instalación adecuada de un certificado de servidor intermedio. Esto puede ser proporcionado por la autoridad de certificación del que se compró el certificado. el certificado intermedio normalmente se instala en la misma ubicación que el certificado del servidor y requiere la entrada correcta en el archivo httpd.conf.

mientras que muchos están castigando a Firefox por su (generalmente) exclusivo ''marcado'' de esto, en realidad está demostrando un nivel más alto de estándares de seguridad.


He estado dando vueltas en círculos con Firefox 43, El Capitan y la instalación de WHM / cPanel SSL obteniendo continuamente el error de sitio que no es de confianza. No compré el certificado que me fue entregado para instalarlo cuando el último tipo salió por la puerta . Resulta que estaba instalando bajo el dominio equivocado porque me perdí el www, pero el certificado todavía se instaló en el dominio, cuando instalé el certificado en WHM usando www.domain.com.au instalé ahora las preocupaciones y el error de FF desapareció - el certificado funciona bien para www y no www.


Junio ​​de 2014:

Esta es la configuración que utilicé y funciona bien después de golpear mi cabeza contra la pared durante algunos días. Uso Express 3.4 (creo que es lo mismo para Express 4.0)

var privateKey = fs.readFileSync(''helpers/sslcert/key.pem'', ''utf8''); var certificate = fs.readFileSync(''helpers/sslcert/csr.pem'', ''utf8''); files = ["COMODORSADomainValidationSecureServerCA.crt", "COMODORSAAddTrustCA.crt", "AddTrustExternalCARoot.crt" ]; ca = (function() { var _i, _len, _results; _results = []; for (_i = 0, _len = files.length; _i < _len; _i++) { file = files[_i]; _results.push(fs.readFileSync("helpers/sslcert/" + file)); } return _results; })(); var credentials = {ca:ca, key: privateKey, cert: certificate}; // process.env.PORT : Heroku Config environment var port = process.env.PORT || 4000; var app = express(); var server = http.createServer(app).listen(port, function() { console.log(''Express HTTP server listening on port '' + server.address().port); }); https.createServer(credentials, app).listen(3000, function() { console.log(''Express HTTPS server listening on port '' + server.address().port); }); // redirect all http requests to https app.use(function(req, res, next) { if(!req.secure) { return res.redirect([''https://mydomain.com'', req.url].join('''')); } next(); });

Luego redirigí los puertos 80 y 443:

sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 4000 sudo iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3000

Como puede ver después de verificar mis certificaciones, tengo 4 [0,1,2,3]:

openssl s_client -connect mydomain.com:443 -showcerts | grep "^"

ubuntu@ip-172-31-5-134:~$ openssl s_client -connect mydomain.com:443 -showcerts | grep "^ " depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root verify error:num=19:self signed certificate in certificate chain verify return:0 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=mydomain.com i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root Protocol : TLSv1.1 Cipher : AES256-SHA Session-ID: 8FDEAEE92ED20742.....3E7D80F93226142DD Session-ID-ctx: Master-Key: C9E4AB966E41A85EEB7....4D73C67088E1503C52A9353C8584E94 Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 300 (seconds) TLS session ticket: 0000 - 7c c8 36 80 95 4d 4c 47-d8 e3 ca 2e 70 a5 8f ac |.6..MLG....p... 0010 - 90 bd 4a 26 ef f7 d6 bc-4a b3 dd 8f f6 13 53 e9 ..J&..........S. 0020 - f7 49 c6 48 44 26 8d ab-a8 72 29 c8 15 73 f5 79 .I.HD&.......s.y 0030 - ca 79 6a ed f6 b1 7f 8a-d2 68 0a 52 03 c5 84 32 .yj........R...2 0040 - be c5 c8 12 d8 f4 36 fa-28 4f 0e 00 eb d1 04 ce ........(....... 0050 - a7 2b d2 73 df a1 8b 83-23 a6 f7 ef 6e 9e c4 4c .+.s...........L 0060 - 50 22 60 e8 93 cc d8 ee-42 22 56 a7 10 7b db 1e P"`.....B.V..{.. 0070 - 0a ad 4a 91 a4 68 7a b0-9e 34 01 ec b8 7b b2 2f ..J......4...{./ 0080 - e8 33 f5 a9 48 11 36 f8-69 a6 7a a6 22 52 b1 da .3..H...i....R.. 0090 - 51 18 ed c4 d9 3d c4 cc-5b d7 ff 92 4e 91 02 9e .....=......N... Start Time: 140...549 Timeout : 300 (sec) Verify return code: 19 (self signed certificate in certificate chain)

¡Buena suerte! PD: si quiere más respuestas, consulte: http://www.benjiegillam.com/2012/06/node-dot-js-ssl-certificate-chain/


Para nginx haz esto Genera un archivo crt encadenado usando

$ cat www.example.com.crt bundle.crt > www.example.com.chained.crt

El archivo resultante se debe utilizar en la directiva ssl_certificate:

server { listen 443 ssl; server_name www.example.com; ssl_certificate www.example.com.chained.crt; ssl_certificate_key www.example.com.key; ... }


Para responder al aspecto de no reproducibilidad de la pregunta, Firefox importa automáticamente los certificados intermedios en su almacén de certificados. Entonces, si ya ha visitado un sitio que ha utilizado el mismo certificado intermedio utilizando una cadena de certificados correctamente configurada, Firefox almacenará ese certificado para que no vea el problema cuando visite un sitio que tenga una cadena configurada incorrectamente utilizando el mismo intermediario. certificado.

Puede verificar esto en el Administrador de certificados de Firefox (Opciones-> Privacidad y seguridad-> Ver certificados ...) donde puede ver todos los certificados almacenados. En la columna "Dispositivo de seguridad" puede verificar de dónde proviene el certificado: los certificados importados de forma automática / manual aparecerán como "Dispositivo de seguridad de software" en oposición al "Símbolo de objeto incorporado", que es el conjunto predeterminado instalado con Firefox. Puede eliminar / desconfiar de certificados específicos y volver a probar.


Sé que este hilo es un poco viejo, pero nos topamos con esto también y archivaremos nuestra solución final aquí para otros.

Tuvimos el mismo problema con un comodín de Comodo certificado "positivo SSL". Estamos ejecutando nuestro sitio web utilizando un proxy SSL squid-reverse y Firefox seguiría quejándose de "sec_error_unknown_issuer" como dijiste, aunque cada otro navegador estaba bien.

Descubrí que este es un problema de la cadena de certificados incompleta. Firefox aparentemente no tiene uno de los certificados intermedios incorporados, aunque Firefox sí confía en la CA raíz. Por lo tanto, debe proporcionar toda la cadena de certificados a Firefox. El apoyo de Comodo dice:

Un certificado intermedio es el certificado, o certificados, que van entre el certificado de su sitio (servidor) y un certificado raíz. El certificado intermedio, o certificados, completa la cadena con un certificado raíz de confianza del navegador.

El uso de un certificado intermedio significa que debe completar un paso adicional en el proceso de instalación para permitir que el certificado de su sitio esté encadenado a la raíz confiable y no mostrar errores en el navegador cuando alguien visita su sitio web.

Esto ya se mencionó anteriormente en este hilo, pero no resuelve cómo se hace esto.

Primero tiene que crear un paquete de certificados encadenados y lo hace usando su editor de texto favorito y simplemente pegándolos, en el orden correcto (inverso), es decir,

  • Certificado CA intermedio 2 - IntermediateCA2.crt - en la parte superior del archivo
  • Certificado CA intermedio 1 - Intermediate1.crt
  • Certificado de CA raíz - root.crt - al final del archivo

El orden exacto que puede obtener de su proveedor ssl si no es obvio a partir de los nombres.

A continuación, guarde el archivo como el nombre que desee. Ej. Yourdomain-chain-bundle.crt

En este ejemplo, no he incluido el certificado de dominio real y, siempre que su servidor pueda configurarse para tomar un paquete de certificados encadenados, esto es lo que usa.

Más información se puede encontrar aquí:

https://support.comodo.com/index.php?/Knowledgebase/Article/View/643/0/how-do-i-make-my-own-bundle-file-from-crt-files

Si por alguna razón no puede configurar su servidor para usar un paquete encadenado separado, entonces simplemente pegue el certificado de su servidor al principio (en la parte superior) del paquete y use el archivo resultante como su certificado de servidor. Esto es lo que debe hacerse en el caso de Eg Calamar. Vea a continuación de la lista de correo de Squid sobre este tema.

http://www.squid-cache.org/mail-archive/squid-users/201109/0037.html

Esto lo resolvió para nosotros.


Si alguien más está experimentando este problema con un Ubuntu LAMP y "COMODO Positive SSL", intente crear su propio paquete a partir de los certs en el archivo comprimido.

cat AddTrustExternalCARoot.crt COMODORSAAddTrustCA.crt COMODORSADomainValidationSecureServerCA.crt > YOURDOMAIN.ca-bundle


Si obtuvo su certificado de COMODO su necesidad de agregar esta línea, el archivo está en el archivo zip que recibió.

SSLCertificateChainFile /path/COMODORSADomainValidationSecureServerCA.crt


Simplemente tuve el mismo problema con un certificado SSL de Comodo Wildcard. Después de leer los documentos, la solución es asegurarse de incluir el archivo de la cadena de certificados que le envían en su configuración, es decir,

SSLCertificateChainFile /etc/ssl/crt/yourSERVERNAME.ca-bundle

Detalles completos en el sitio de Comodo


Tuve este problema con Firefox y mi servidor. Contacté con el servicio de atención al cliente de GoDaddy y me pidieron que instalara el certificado de servidor intermedio:

http://support.godaddy.com/help/article/868/what-is-an-intermediate-certificate

Después de reiniciar el servicio de publicación World Wide Web, todo funcionó perfectamente.

Si no tiene acceso completo a su servidor, su ISP tendrá que hacer esto por usted.


Tuvimos este problema y fue muy específico de Firefox, solo reprod en ese navegador, Safari, IE8, Chrome, etc. estaban bien.

Repararlo requería obtener un certificado actualizado de Comodo e instalarlo.

No tengo idea de qué magia cambiaron, pero definitivamente era algo en el cert que NO le gustaba a Firefox.