Feilsøking av SSL /TLS Nettleserfeil og advarsler

Nettleserfeil og advarsler

Det er altfor vanlig å møte nettleserfeilmeldinger som dette når du besøker nettsteder:

Chrome tillitsvarsel

Disse meldingene begynner vanligvis med en fet overskrift som sier det Tilkoblingen er ikke privat or Advarsel: Potensiell sikkerhetsrisiko foran. Disse meldingene kan være frustrerende for brukere og nettsideeiere, spesielt når eieren har forsøkt å sikre nettstedet sitt med en SSL /TLS sertifikat. Ofte er disse feilene forårsaket av feilkonfigurasjoner på serveren som er enkle å rette når du vet grunnårsaken. I denne guiden vil vi gå gjennom noen vanlige feilkonfigurasjoner og feilmeldingene knyttet til dem i forskjellige nettlesere. Nettleserne som ble brukt til å generere disse skjermbildene var:

  • Google Chrome 76.0.3809.100 (macOS 10.14.6)
  • Firefox 68.0.1 (macOS 10.14.6)
  • Safari 12.1.2 (macOS 10.14.6)
  • Edge 44.17763.1.0 (Windows 10 Enterprise)
  • Internet Explorer 11.379.11763.0 (Windows 10 Enterprise)

Situasjonene vi vil dekke er beskrevet i innholdsfortegnelsen nedenfor.

Sammenligne E-post-, klient- og dokumentsigneringssertifikater fra SSL.com, fra bare $ 20.00 / år.

SAMMENLIGN

Utgått sertifikat

I disse tilfellene har serveren et sertifikat installert som har overlevd gyldighetsperioden og må skiftes ut:

  • Chrome: NET::ERR_CERT_DATE_INVALID
  • firefox: Feilmeldingen inkluderer teksten, The website is either misconfigured or your computer clock is set to the wrong time., og klikke på Avansert -knappen viser feilkoden SEC_ERROR_EXPIRED_CERTIFICATE.
    Nettstedet er enten feilkonfigurert, eller datamaskinens klokke er satt til feil tid.
    SEC_ERROR_EXPIRED_CERTIFICATE
  • Kant: DLG_FLAGS_SEC_CERT_DATE_INVALID (synlig etter å ha klikket Detaljer lenke på Dette nettstedet er ikke sikkert beskjed).DLG_FLAGS_SEC_CERT_DATE_INVALID
  • Internet Explorer:  DLG_FLAGS_SEC_CERT_DATE_INVALID (synlig etter å ha klikket Mer informasjon lenke på Dette nettstedet er ikke sikkert beskjed).
  • Safari: Den første feilmeldingen sier det This Connection is Not Private. Klikk på Vis detaljer -knappen presenterer en melding som begynner med Safari warns you when a website has an expired certificate. Du kan også klikke på se sertifikatet lenke for å bekrefte dette.
    Denne forbindelsen er ikke privat
    Safari advarer deg når et nettsted har et utgått sertifikat.

Løsning: Forny nettstedets sertifikat. Sluttbrukere som opplever denne feilen, bør også bekrefte at dato og klokkeslett er riktig angitt på datamaskinen.


Domenenavn samsvarer ikke med sertifikatet

I disse tilfellene presenterer webserveren et sertifikat som ikke samsvarer med domenenavnet brukeren prøver å få tilgang til:

  • Chrome: NET::ERR_CERT_COMMON_NAME_INVALID
  • firefox: SSL_ERROR_BAD_CERT_DOMAIN (synlig etter å ha klikket Avansert knappen på Advarsel: Potensiell sikkerhetsrisiko foran side).
    SSL_ERROR_BAD_CERT_DOMAIN
  • Kant: DLG_FLAGS_SEC_CERT_CN_INVALID (synlig etter å ha klikket Detaljer lenke på Dette nettstedet er ikke sikkert beskjed).
  • Internet Explorer: DLG_FLAGS_SEC_CERT_CN_INVALID (synlig etter å ha klikket Detaljer lenke på Dette nettstedet er ikke sikkert beskjed).
  • Safari: Generisk This Connection is Not Private beskjed. Hvis du klikker på Vis detaljer knappen og deretter se sertifikatet lenke, kan du bekrefte at domenenavnet ikke samsvarer med sertifikatet.
    Sertifikatnavnet stemmer ikke med inndata

Løsning: Pass på at vanlig navn og / eller emne alternativt navn oppført i sertifikatet samsvarer med nettstedets domenenavn.


Ufullstendig kjeden av tillit

Hvis en webserver ikke har en komplett kjede av tillit inkludert alle nødvendige mellomliggende sertifikater installert, kan disse feilene resultere:

  • Chrome: NET::ERR_CERT_AUTHORITY_INVALID
    NET :: ERR_CERT_AUTHORITY_INVALID
  • firefox: SEC_ERROR_UNKNOWN_ISSUER (synlig etter å ha klikket Avansert knappen på Advarsel: Potensiell sikkerhetsrisiko foran side).
    SEC_ERROR_UNKNOWN_ISSUER
    OBS: Du kan ikke se denne feilen i Firefox, selv om den vises av andre nettlesere. Dette er fordi Firefox lagrer mellomliggende sertifikater i sin egen sertifikatbutikk; Hvis du tidligere har besøkt et nettsted som inkluderte alle mellomprodukter som mangler fra serveren din, vil Firefox bruke dem til å lage en komplett sertifikatkjede når det er nødvendig.
  • Kant: DLG_FLAGS_INVALID_CA (synlig etter å ha klikket Detaljer lenke på Dette nettstedet er ikke sikkert beskjed).
  • Internet Explorer:  DLG_FLAGS_INVALID_CA (synlig etter å ha klikket Detaljer lenke på Dette nettstedet er ikke sikkert beskjed).
    DLG_FLAGS_INVALID_CA
  • Safari: Generisk This Connection is Not Private beskjed. Hvis du klikker på Vis detaljer knappen og deretter se sertifikatet lenke, kan du bekrefte at sertifikatet ikke er klarert.
    Sertifikatet er ikke klarert

Løsning: Forsikre deg om at det er installert en komplett sertifikatkjede på serveren din. Se vår artikkel om diagnostisering og løsning av dette problemet for mer informasjon.


Opphevet sertifikat

Noen ganger, på grunn av problemer med serverkompromiss eller samsvar, må sertifikater trekkes tilbake før den planlagte utløpsdatoen (se for eksempel serienummer entropi utgave av begynnelsen av 2019). Unnlatelse av å erstatte et tilbakekalt sertifikat vil føre til disse feilmeldingene:

  • Chrome: NET::ERR_CERT_REVOKED
    NET :: ERR_CERT_REVOKED
  • firefox: SEC_ERROR_REVOKED_CERTIFICATE
    SEC_ERROR_REVOKED_CERTIFICATE
  • Kant: ERROR_INTERNET_SEC_CERT_REVOKED (synlig etter å ha klikket Detaljer lenke på Dette nettstedet er ikke sikkert beskjed).
    ERROR_INTERNET_SEC_CERT_REVOKED
  • Internet Explorer: ERROR_INTERNET_SEC_CERT_REVOKED (synlig etter å ha klikket Detaljer lenke på Dette nettstedet er ikke sikkert beskjed).
  • Safari: Generisk This Connection is Not Private beskjed. Hvis du klikker på Vis detaljer knappen og deretter se sertifikatet lenke, kan du bekrefte at sertifikatet faktisk er opphevet.
    Sertifikatet er opphevet

Løsning: generere et nytt websidesertifikat lenket til et gyldig, offentlig klarert rot- og mellomsertifikat.

Vi håper denne veiledningen har vært nyttig for å hjelpe deg med å tyde (noen ganger kryptiske) feilmeldinger presentert av nettlesere når de støter på en problematisk SSL /TLS installasjon. Hvis du har spørsmål, kan du kontakte oss via e-post på Support@SSL.com, anrop 1-877-SSL-SECURE, eller bare klikk chat-lenken nederst til høyre på denne siden. Du kan også finne svar på mange vanlige støttespørsmål i vår kunnskapsbase.Takk for at du valgte SSL.com!
Twitter
Facebook
Linkedin
Reddit
Epost

Hold deg informert og sikker

SSL.com er en global leder innen cybersikkerhet, PKI og digitale sertifikater. Registrer deg for å motta de siste bransjenyhetene, tipsene og produktkunngjøringene fra SSL.com.

Vi vil gjerne ha tilbakemeldinger

Ta vår spørreundersøkelse og fortell oss dine tanker om ditt nylige kjøp.