GiNeR's Blog Голосов: 1 Адрес блога: http://maximum-value.blogspot.com/ Добавлен: 2008-02-19 12:37:50 блограйдером Lurk

Firefox, Сбербанк онлайн и новый сертификат

2011-06-21 22:04:00 (читать в оригинале)

В Сбербанк онлайн обновился сертификат и Firefox не доверяет ему (выдаёт ошибку sec_error_unknown_issuer). Это происходит потому, что корневой сертификат организации (Thawte SGC CA - G2, серийный номер 18:A2:23:6C:D7:27:C7:52:8D:F6:7B:4B:85:6E:FF:ED) выдавшей сертификат Сбербанку почему-то не присутсвует в базе сертификатов Firefox.

Thawte SGC CA - G2, в свою очередь, подписан VeriSign-ом (VeriSign Class 3 Public Primary Certification Authority - G518:DA:D1:9E:26:7D:E8:BB:4A:21:58:CD:CC:6B:3B:4A), который присутствует в Firefox.

Чтобы это исправить установите корневой сертификат Thawte SGC CA - G2 выданный VeriSign-ом, для это необходимо:
1) кликнуть на ссылку: http://www.tbs-internet.com/thawte/ThawteSGCG2.crt, появится окно "Вам предлагают доверять новому центру сертификации (CA)";
2) в появившемся окне установить галку "Доверять при идентификации веб-сайтов";
3) нажать ОК.

Проверяйте: https://esk.sbrf.ru

Update: а вот и ответ на вопрос почему.

Раз (не работает):
http://www.sslshopper.com/ssl-checker.html#hostname=esk.sbrf.ru
http://certlogik.com/sslchecker/esk.sbrf.ru/

Два (работает):
http://www.sslshopper.com/ssl-checker.html#hostname=connect.raiffeisen.ru
http://certlogik.com/sslchecker/connect.raiffeisen.ru/

Три:
The ssl chain is not complete. There is nothing that Firefox can do to fix this. The sever admin will need to correct this problem. https://bugzilla.mozilla.org/show_bug.cgi?id=665993
No (The issuer certificate of a locally looked up certificate could not be found. This normally means the web server did not return the intermediate certificates.) - т.е. на сервере сбербанка должен быть установлен ещё и промежуточный сертификат, которого там нет.

И четыре (хоть это уже и не относится к делу, но):
http://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm?test_domain=esk.sbrf.ru
http://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm?test_domain=connect.raiffeisen.ru