Wie kann ich die Meldung "Die SSL-Server-Zertifizierungsstelle ist nicht vertrauenswürdig" im Browser behoben werden?

871
Hrvoje T

Es hat vor ein paar Wochen angefangen. Eine der Sites gibt mir eine Nachricht

NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM

You attempted to reach some_web_site.org, but the server presented a certificate signed using a weak signature algorithm (such as SHA-1). This means that the security credentials the server presented could have been forged, and the server may not be the server you expected (you may be communicating with an attacker).

Und wenn ich klicke, proceedbekomme ich:

Reason : The SSL server certificate authority is not trusted.

Es ist eine der öffentlich-rechtlichen staatlichen Stellen.

Ich habe das SSL proxy default authorityZertifikat als p12-Datei von meiner Firewall heruntergeladen und in Windows in meiner vertrauenswürdigen Stammzertifizierungsstelle installiert. Dieses Zertifikat ist bis Mai 2022 gültig.

Es ändert sich jedoch nichts. Ist es meine Schuld oder der Server-Besitzer?

Update : Die Website wird außerhalb des LANs meiner Organisation problemlos geladen. Ich kann es über mein 4G-Mobilfunknetz laden. Meine Firewall führt Web-Filterung und SSL-Prüfung durch. Bedeutet das, dass mein Proxy-Zertifikat ungültig ist? Warum hat es vor ein paar Wochen funktioniert und ich habe an meiner Seite nichts geändert?

Update2 Screenshots hinzugefügt Wie kann ich die Meldung

-1
Es ist ein Problem, das der Server-Besitzer beheben muss. Sie können sich des Problems jedoch nicht einmal bewusst sein. Insbesondere Websites von Regierungsdiensten müssen in der Regel zuerst von ihren Kunden erfahren, dass es ein Problem gibt, bevor sie versuchen, das Problem zu beheben. Nachdem sie es gehört haben, wird es einige Zeit dauern, bis die Probleme behoben sind. LPChip vor 5 Jahren 0
Ein Weg, um absolut sicher zu sein, dass es nicht an Ihrem Ende ist: Versuchen Sie es mit verschiedenen Browsern und versuchen Sie es mit anderen Geräten (PC, Laptop, Smartphone usw.). LPChip vor 5 Jahren 0
Von meinem LAN aus über meine Firewall funktioniert es nicht mit verschiedenen Geräten. Es funktioniert von außerhalb meines LANs, wenn ich mit meinem Mobiltelefon einen Internet-Provider-Anschluss habe. Hrvoje T vor 5 Jahren 0
Was ist, wenn Sie Ihr Telefon über Ihr WLAN nutzen? Funktioniert es dann? Mobile Browser unterscheiden sich von PC-Browsern und sind möglicherweise weniger sicher. Testen Sie die Chrome-App auf Ihrem Telefon und die Chome-Desktop-Version auf Ihrem PC, um sicherzustellen, dass Sie dasselbe tun. Ich schätze, dass beide die Site ausfallen lassen, unabhängig davon, in welchem ​​Netzwerk Sie sich befinden. LPChip vor 5 Jahren 0
Bei der Verwendung meines WLANs über das Telefon wird auch keine Website geladen. Es ist Android 8 mit dem neuesten Chrome. Hrvoje T vor 5 Jahren 0
Wenn also Ihr Telefon mit WLAN die Site nicht in Chrome lädt, der Mobilfunkanbieter jedoch in Chrome funktioniert, liegt das Problem bei Ihnen. Bearbeiten Sie Ihren Beitrag so, dass er diese Informationen enthält, da dies die Antwort ungültig macht. LPChip vor 5 Jahren 0
Ok, aber ich sagte, ich habe die Firewall mit Proxy-Zertifikat. Hrvoje T vor 5 Jahren 0

2 Antworten auf die Frage

3
telcoM

Ihr Verdacht scheint richtig zu sein: Laut der Fehlermeldung verwendet Ihr Proxy-Zertifikat einen SHA-1-Signaturalgorithmus, der eine schwerwiegende bekannte Schwäche aufweist. Die Gültigkeitszeit ist nicht das Problem; Der schlechte Algorithmus ist.

Der Prozess zur Abwertung des SHA-1-Algorithmus begann vor Jahren: Mit Chrome begann er 2014, als End-Entity-Zertifikate, die SHA-1 verwendeten und nach dem 1. Januar 2017 gültig waren, als "sicher" eingestuft wurden Fehler ". Mit der Zeit und nach neuen Wegen, um die Schwachstelle auszunutzen, wurde die Kennzeichnung schrittweise auf alle SHA-1 Nicht-Root-Zertifikate erweitert und strenger gemacht: Inzwischen wird jeder Webbrowser eine Site mit einem SHA-1-Zertifikat an einer beliebigen Stelle in seiner Zertifikatkette als eindeutig schlecht.

Zertifizierungsstellen, die den CAB / F-Basisanforderungen entsprechen, haben zu Beginn des Jahres 2016 keine neuen SHA-1-Zertifikate mehr ausgestellt.

Microsoft hat auch den Prozess zur Abwertung von SHA-1-Zertifikaten im Jahr 2017 durchlaufen.

Wenn Ihre Firewall / Proxy immer noch ein Zertifikat mit einem SHA-1-Signaturalgorithmus verwendet, sieht es so aus, als hätten Sie schon eine Weile am Steuer geschlafen. Es wurde erst jetzt wahrscheinlich aufgrund einiger Sicherheitspatches deutlich, die den SHA-1-Algorithmus schließlich als kategorisch misstrauisch empfunden haben.

Sie sollten sicherstellen, dass Ihr Proxy Zertifikate mit besseren Algorithmen verwenden kann (wenn er auf dem neuesten Stand ist und mit modernen TLS auf Websites umgehen kann, kann er dies wahrscheinlich bereits tun), und ein neues SSL proxy default authorityZertifikat erstellen, das SHA256 anstelle von SHA-1 verwendet. Sie müssen es an alle Clients verteilen, deren SSL- / TLS-Verkehr Sie überwachen möchten. Nach der Verteilung können Sie Ihren Proxy wechseln, um das neue Zertifikat zu verwenden.

Mit den hinzugefügten Screenshots sieht es so aus, als ob der Browser mit dem Zertifikat, das er erhält, meistens zufrieden ist, da in der Adressleiste ein gutes Schlosssymbol angezeigt wird. Die eigentliche Fehlermeldung wird anstelle des Seiteninhalts angezeigt. Dies lässt mich glauben, dass dies die Art und Weise des Proxy ist, über einen Fehler bei der Zertifikatvalidierung der Verbindung zwischen dem Proxy und der Ziel-Site zu informieren.

Im ersten Screenshot browsen Sie außerhalb des LANs und das tatsächliche Zertifikat der Site ist zu sehen. Beachten Sie, dass es kürzlich erneuert wurde, da seine Gültigkeitszeit am 15.10.2018 begann. Das zur Zertifizierung der Site verwendete CA-Zertifikat lautet "Thawte RSA CA 2018", sodass selbst das CA-Zertifikat höchstens ein Jahr alt ist.

Möglicherweise haben Sie eine Kombination aus zwei Problemen:

  • Der Browser war mit dem veralteten SHA-1-Algorithmus unzufrieden mit dem Zertifikat des Proxys, aber vorläufig hält er dies für eine verzeihliche Sache.
  • Der Proxy war unglücklich, weil er weder das Zwischenzertifikat "Thawte RSA CA 2018" noch sein übergeordnetes Zertifikat, das "DigiCert Global Root CA" -Zertifikat in seinem eigenen Speicher für vertrauenswürdige CA-Zertifikate besitzt, und daher die Site kürzlich nicht überprüfen kann. aktuelles Zertifikat aktualisiert.

Zum Zeitpunkt der Erstellung dieses Dokuments scheinen die entsprechenden Thawte CA- und Zwischenzertifikate hier verfügbar zu sein .

Kann ich es erstellen oder muss ich es kaufen oder sollte ich Stormshield anrufen, um eines zu bekommen? Hrvoje T vor 5 Jahren 0
Und wie funktionieren einige Websites mit https und andere nicht? Mein SSL-Filter sollte den gesamten SSL-Verkehr untersuchen? Hrvoje T vor 5 Jahren 0
Wenn Sie sich nicht sicher sind, sollten Sie die Dokumentation Ihres Vertreters lesen. Da jedoch ein SSL-Proxy-Zertifikat einen Man-in-the-Middle-Angriff auf SSL / TLS-verschlüsselten Datenverkehr zulässt, wäre es für Sie sinnvoll, Ihr eigenes Zertifikat zu behandeln. Auf diese Weise können nur Sie (und nicht auch das Firewall-Unternehmen) den Verkehr auf Ihren Client-Systemen überwachen. telcoM vor 5 Jahren 0
Es gibt neuere Techniken wie [HPKP] (https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning), [CT] (https://en.wikipedia.org/wiki/Certificate_Transparency) und [DANE] (https: / /en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities), über die der Browser weitere Informationen zu dem auf einer bestimmten Site erwarteten Zertifikat erhält. Ihr Proxy ist möglicherweise nicht in der Lage, alle diese Methoden zu umgehen. Dies würde dazu führen, dass die Websites, die begonnen haben, eine dieser Methoden zu verwenden, fehlschlagen, während andere Websites, die diese Techniken noch nicht verwenden, weiterhin funktionieren. telcoM vor 5 Jahren 0
Wenn sich herausstellt, dass das Problem durch HPKP oder CT verursacht wurde, die zu einer Browserfunktion gehören, die die auf HTTPS-Sites zuvor angezeigten Zertifikate "merkt", haben Sie möglicherweise Probleme mit Benutzern, die ihre Browser innerhalb und außerhalb des Unternehmensnetzwerks verwenden müssen. (Ich erinnerte mich nicht richtig: DANE ist eher eine E-Mail-Sache.) telcoM vor 5 Jahren 0
Ich habe ein paar Screenshots hinzugefügt Hrvoje T vor 5 Jahren 0
Danke für Ihre Hilfe! Jetzt muss ich nur einen Weg finden, um diese Probleme zu lösen. Hrvoje T vor 5 Jahren 0
Sie können anscheinend die neuesten Zwischen- und Stammzertifikate von Thawte finden [hier.] (Https://knowledge.digicert.com/generalinformation/INFO3805.html#links) Wenn Sie sie zum Speicher Ihrer vertrauenswürdigen CA-Zertifikate Ihres Proxys hinzufügen, überprüfen Sie den Administrator Dokumentation Ihres Proxys), die Verbindungen mindestens mit der Warnung des Browsers durch den "schwachen Signaturalgorithmus" ermöglichen soll. Um die Warnung des Browsers loszuwerden, muss möglicherweise die clientseitige SSL / TLS-Konfiguration des Proxys angepasst und / oder das CA-Zertifikat unter Verwendung eines stärkeren Algorithmus neu erstellt werden. Proxys technischer Support (Stormshield?) Kann wahrscheinlich helfen. telcoM vor 5 Jahren 0
0
harrymc

Das Problem kann nicht behoben werden, es sei denn, der Eigentümer der Site erhält ein ordnungsgemäßes SSL-Zertifikat.

Sie können dieses Problem umgehen, beispielsweise in Chrome, indem Sie der Verknüpfung den Parameter von hinzufügen --ignore-certificate-errors.

Mit der aktuellen Sicherheitslücke haben solche Workarounds jedoch eine kurze Lebensdauer.

Ich habe Chrome mit `chrome --ignore-certificate-errors` gestartet, aber die Site ist immer noch gesperrt. Hrvoje T vor 5 Jahren 0
Es tut uns leid, dass Chrome die Regeln kontinuierlich ändert und das Überschreiben dieses Fehlers anscheinend nicht akzeptiert. Versuchen Sie vielleicht [diese Antwort] (https://superuser.com/a/1054727/8672) für Firefox. harrymc vor 5 Jahren 0
Dieses Zertifikat kann nicht in Firefox-Zertifikate von Authorities geladen werden, da es sich um ein persönliches Zertifikat handelt. Dann habe ich versucht, es in "People" -Zertifikate zu importieren, und nichts passiert. Es kann immer noch keine Site geladen werden Hrvoje T vor 5 Jahren 0
Wenn der Austausch von Kommentaren korrekt ist, ist dies ein Problem bei der Internetverbindung. Wenn ich OP richtig verstanden habe, geschieht dies nicht in Chrome am Telefon, wenn das WLAN deaktiviert wird und stattdessen die mobile Verbindung verwendet wird. LPChip vor 5 Jahren 0
@LPChip: Der Unterschied kann im Browser des Telefons liegen. Er sagt auch, dass es außerhalb des LANs seiner Organisation funktioniert, daher kann es auch die Firewall des Unternehmens sein, die es ablehnt. Hrvoje: Wenn wir einen Screenshot der Browserseite mit dem Fehler hätten, könnten wir mehr wissen. harrymc vor 5 Jahren 0
Ich habe Screenshots hinzugefügt Hrvoje T vor 5 Jahren 0
Ich denke immer noch, dass Sie, wenn Sie innerhalb und außerhalb des LANs der Organisation unterschiedliche Ergebnisse erzielen, dies mit dem LAN-Administrator besprechen sollten. Ein Screenshot der Fehlerseite im LAN kann hilfreich sein. harrymc vor 5 Jahren 0
Lol, ich bin der LAN-Administrator. Wie hätte ich dann Zugriff auf die Firewall :) Hrvoje T vor 5 Jahren 0
Ich hätte gerne einen Screenshot der Fehlerseite im Browser. Als Administrator sollten Sie im Allgemeinen auch Informationen zu Ihrer Firewall und Architektur angeben können. harrymc vor 5 Jahren 0
Diese Site würde nicht existieren, wenn jeder alles weiß. Ich habe keine Angst zu fragen. Was den Browserfehler angeht, habe ich ihn bereits im OP `NET :: ERR_CERT_WEAK_SIGNATURE_ALGORITHM` geschrieben. Ich kann diesen Sceenshot jedoch morgen machen. Danke für Ihre Hilfe. Hrvoje T vor 5 Jahren 0

Verwandte Probleme