web-dev-qa-db-ja.com

エラーコード:sec_error_untrusted_issuer

私のお気に入りのWebサイトにアクセスしたときに、最近ポップアップしているこのコードに関するセキュリティ問題についてサポートが必要です。いくつかの過去の歴史に基づいて、私は何かが正しくないことを知っています。私は自分のセキュリティについて心配しているだけでなく、私の自由が知らない人によって制御されていることに本当に腹を立てています。

タイトルにエラーコードが投稿され続けます。これを修正するのを手伝ってください!!!

1
Charlie

問題のある証明書を特定する

次にそのエラーを表示するサイト 証明書チェーンを確認してください にアクセスすると、次のようになります。

Certificate chain for mail.google.com

そうでない場合、つまり、その行の何かが問題である場合、有効期限が切れた発行者証明書などを識別する必要があります。

証明書の問題の理由

  • これは中間者攻撃の証拠である可能性がありますが、これはマウントするのにある程度の技術的な困難が必要となるため、最初に考える必要はありません。誰かがそのようなことを試みている場合-自分がアクセスしているサイトの「チェーンの上の」証明書をクリックすると問題が表示されます(上図のウィンドウで)。

    悪意のあるものを見つけた場合、接続は安全ではないため、別のネットワークに移動する必要があります。

  • これは、ネットワーク管理者が仕掛けた中間者攻撃である可能性があります。企業が所有するマシンを使用している企業ネットワークを使用している場合、管理者が信頼できるCAとしてマシンにプロキシを発行するのを見逃しているか、その証明書の有効期限が切れているなどの可能性があります。

    上記のチェーンにあなたが認識している人(ネットワークオペレーター)がいる場合は、その人に話しかけてください。また、接続は安全である可能性が高いものの、それらはリッスンできることに注意してください。

  • 何らかの理由で、マシン上に同じ証明書ルートの有効期限が切れたバージョンまたは異なるバージョンがある可能性があります-ルートも信頼できない可能性があります( StartSSL は、カバー範囲の広い発行者ですがその他)。チェーンに問題がないように見えても、期限切れの証明書が表示されている場合は、ブラウザーを更新してWindows Updateを実行してみてください。

    Firefoxは別のストアを使用してIE-IEで問題が発生しない場合は、Firefoxのアップデートを確認する必要がある可能性があります。

  • 接続していると思われるサイトに接続していない可能性があります。企業環境または公共のホットスポットでは、ネットワークの使用を開始するために通過する必要がある「クリックスルー」ページがあり、信頼できない証明書または自己署名された証明書を使用している可能性があります。証明書など.

  • システムクロックが正しく設定されていないのと同じくらい簡単な場合があるため、実際には有効なCA証明書が期限切れであると信じています。

興味があるかもしれません SSL Shopperのこのヘルプページ ;これらは、ルート証明書を更新する方法についての説明とともに、すべての主要なCAにリンクしています。

4
Bob Watson

よく知っている主要なウェブサイトでこのエラーが表示されている場合は、誰かが何らかの中間者攻撃を行っていることを示している可能性があります。信頼されていない独自の認証局によって署名されたWebサイトの「有効な」証明書を提示しています。

とはいえ、間違っている可能性のある構成エラーがいくつかあります。 Googleの規模でこれが発生している場合は、心配してください。そうでない場合は、Webサイトが誤って構成されたIDチェーンを使用しているか、違反の結果として信頼できないとマークされた認証局の1つを使用している可能性があります。

Gmailの確認方法は次のとおりです。

#Output of `openssl s_client -connect $BROKEN_SITE:443 -showcerts < /dev/null`

CONNECTED(00000003)
---
Certificate chain
 0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 1 s:/C=US/O=Google Inc/CN=Google Internet Authority
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=mail.google.com
issuer=/C=US/O=Google Inc/CN=Google Internet Authority
---
No client certificate CA names sent
---
SSL handshake has read 2110 bytes and written 348 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-RC4-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.1
    Cipher    : ECDHE-RSA-RC4-SHA
    Session-ID: 72257B54ADC216B87F6CDBC74BD6C66EDFB79CDF5BAC478DBE74885759CA7564
    Session-ID-ctx: 
    Master-Key: EACF7DDE1B6AF2BD1F274DD9009C718812B8F45B4CDE348CDA2B488C94070B6ABED087B11DF7B74A6EF9A2D6E157F089
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 100800 (seconds)
    TLS session ticket:
    0000 - c2 4f ef 02 39 eb 74 ec-60 c1 97 ee f0 de d6 5d   .O..9.t.`......]
    0010 - 8c 64 96 ad c0 ef a1 8d-49 4d df 7c 3e d7 13 39   .d......IM.|>..9
    0020 - 8c cf 1b db 4b 26 af f4-bc b7 44 95 5b 6c b3 05   ....K&....D.[l..
    0030 - 23 40 81 bf 46 e9 64 32-24 8b 49 73 82 12 14 5b   #@..F.d2$.Is...[
    0040 - 3d eb b1 75 3b 38 c7 9c-3c 21 ac 2c 2a d5 9f 71   =..u;8..<!.,*..q
    0050 - 7c 77 6b fa 44 f7 6a d3-19 10 ba cd f2 8e 7f 73   |wk.D.j........s
    0060 - ba 20 43 7f 83 db 78 6a-42 59 2a b6 bb b2 c5 c3   . C...xjBY*.....
    0070 - f3 71 ee 26 48 82 39 36-9f 96 b1 7e 85 a8 3f 39   .q.&H.96...~..?9
    0080 - 39 82 0e b3 18 cd 45 51-7a 19 ee 56 f8 dd 2d 3c   9.....EQz..V..-<
    0090 - 20 49 b7 69                                        I.i

    Start Time: 1360703474
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---

下部に「戻りコードを確認する:20(ローカル発行者の証明書を取得できません)」と表示されていることに気づくでしょう。これは、証明書チェーンがクライアントに信頼されたルートキーの独自のコピーを保持することを期待しているためです。 http://www.mozilla.org/projects/security/certs/included/ で、Firefoxに含まれているキーのリストを確認できます。

全体的に混乱していますが、基本的には EquifaxはGeoTrustです なので、そのキーをダウンロードしました。その重要な部分は2つの場所で確認できます。

1 s:/ C = US/O = Google Inc/CN = Google Internet Authorityi:/ C = US/O = Equifax/OU = Equifax Secure Certificate Authority

さらに一歩進んでopenssl x509 -textその証明書で、2番目の証明書ブロックから署名鍵IDを取得します。

X509v3 Authority Key Identifier:keyid:48:E6:68:F9:2B:D2:B2:95:D7:47:D8:23:20:10:4F:33:98:90:9F:D4

したがって、必要なのは、キーを含むルート証明書のコピーであり、これはある種の信頼の1つです。 http://curl.haxx.se/ca/cacert.pem さまざまなオペレーティングシステムポイントからのエクスポートは少なくとも面倒なので、結局私が選択したバンドルになりました。

ランニング openssl s_client -connect $BROKEN_SITE:443 -showcerts -CAfile cacert.pem < /dev/nullこれで好ましい戻りコードが得られました。

Start Time: 1360706261
Timeout   : 300 (sec)
Verify return code: 0 (ok)

システムでそのキーを手動で見つけて、SSLで検証するためにエクスポートすることもできます。

1
Jeff Ferland