Autor Zpráva
werken313
Profil
Přistupuji na jedny stránky přes protokol https a server mně nabízí dva různé certifikáty (jeden expirovaný a druhý aktuální) podle toho, jaký používám prohlížeč nebo na jakém jsem počítači.

Konkrétně: v práci na prohlížeči MSIE 8 dostanu při přístupu na danou stránku vždy certifikát, který vypršel v květnu 2013. Napíše to, že "Certifikát kořenového úřadu není důvěryhodný. Má-li být považován za důvěryhodný, nainstalujte tento certifikát do úložiště důvěryhodných kořenových certifikačních úřadů.". Pokud se v práci připojím přes Wifi ze svého počítače a přistoupím k tomu z MSIE 10, tak dostanu aktuální (ne-expirovanou) verzi certifikátu, přičemž stav je: "Tento certifikát je v pořádku." (a nikdy jsem ho ručně na svém počítači nepřidával do žádného seznamu, prostě najedu na https stránku a vše jede bez výstrah).

Pokud použiji jiný prohlížeč (např. Firefox nebo Chrome), tak dostanu vždy aktuální (ne-expirovanou) verzi certifikátu, ať už přistupuji z jakéhokoli počítače.

Nevíte, proč ten MSIE v práci nedokáže postřehnout, že už je k dispozici nová verze certifikátu? Jelikož mně to nabízí, abych si ho nainstaloval, tak to znamená, že nikde v tom počítači doposavad nainstalovaný není, tzn. nechápu, jestli se jako někde drží v cache prohlížeče (výmaz všech osobních dat ani tlačítko "Vymazat stav protokolu SSL" však nepomohly) nebo jestli to snad může mít souvislost se špatnou konfigurací přímo na serveru? Snažil jsem se taky najít ten certifikát ve Windows pomocí certmgr, ale nenašel jsem ho tam.

Myslíte, že má smysl se obracet na správce Apache serveru a síťové infrastruktury, který ten certifikát instaloval, nebo ten problém bude určitě v nějaké cache přímo v těch počítačích, kde se pořád nabízí ten expirovaný certifikát?
peta
Profil
Nenapsal jsi verzi win. Wifi obvykle pouziva ipv6. Zkousel jsi jiny pc s wifi? Jestli to dela taky, je mozne, ze certifikat pro ipv6 nebyl aktualizovan, pouze jiny, pro ipv4.
U starych win je treba ms certifikaty obnovit kdesi, tusim zmenou nekde v nastaveni a pak win update, ale to asi u ne-ms certifikatu nepomuze.

"window explorer 8 upgrade certifikatu"
https://www.google.cz/search?q=window+explorer+8+upgrade+certifikatu
-> http://windows.microsoft.com/cs-cz/windows-vista/view-or-manage-your-certificates
-> http://windows.microsoft.com/cs-cz/windows-vista/import-or-export-certificates-and-private-keys

IE8 tu nikde nemam.
IE9 - menu Nastroje - Moznosti inetu - zalozka Obsah - tlacitko Certifikaty
Tam je taky link, dalsi informace o certifikatech.
Davex
Profil
werken313:
Nevíte, proč ten MSIE v práci nedokáže postřehnout, že už je k dispozici nová verze certifikátu?
Certifikáty certifikačních autorit (kořenové certifikáty) nainstalované v systému je nutné občas aktualizovat. Pro Windows XP například odtud. Běžně se to aktualizuje samo, takže pokud to není tvůj počítač, tak bych se obrátil na správce počítačů ve tvé firmě. V jiných prohlížečích to funguje pravděpodobně proto, protože používají jinou (vlastní) sadu kořenových certifikátů než Explorer.

peta:
Wifi obvykle pouziva ipv6.
Nesouhlasím.

Jestli to dela taky, je mozne, ze certifikat pro ipv6 nebyl aktualizovan, pouze jiny, pro ipv4.
Platnost kořenového certifikátu opravdu nesouvisí s IP adresou.
peta
Profil
Davex:
"je nutné mít pro každý SSL certifikát vlastní IP adresu"
https://www.ssls.cz/slovnik/ip.html
Jestli to chapu spravne, tak to muze byt stejny vydavatel, ale certifikat je vystaveny jen pro konkretni ip adresu. Ipv6 adresa je jina nez ipv4. Pokud mas na setveru tedy 2 ruzne soubory (certifikaty), ne?
Davex
Profil
peta:
werken313 psal chybu

Certifikát kořenového úřadu není důvěryhodný. Má-li být považován za důvěryhodný, nainstalujte tento certifikát do úložiště důvěryhodných kořenových certifikačních úřadů.

Kořenové certifikáty CA (certifikačních autorit) slouží k ověření pravosti serverového certifikátu (nebo obecně digitálních certifikátů, které byly podepsány CA). Vypršení jejich platnosti může být způsobena leda tak špatně nastaveným datem na počítači (pro jednoduchost do toho nebudu míchat CRL) nebo tím, že jejich platnost skončila. S žádnou IP adresou nikdy nepřijdou do styku, protože už jsou nakopírované na počítači.
werken313
Profil
No mám v tom ještě větší zmatek než předtím. Teď v práci nejsem, takže se nemůžu podívat na verzi Windows, ale je to asi Windows Vista nebo W7.

Opravte mě někdo, ale cokoli ohledně certifikátů na Windows by přece mělo být řešitelné v rámci programu, který vyvolám příkazem certmgr.msc a pokud si Windows jakkoli nakešoval starý certifikát, ať už ho označil za důvěryhodný nebo nedůvěryhodný nebo za jakýkoli jiný a ať už ho někdo ručně instaloval nebo nikoli, tak tady v tom rozhraní přece musí být? Nebo se mýlím?

Doma mám v tom manageru adresář "Nedůvěryhodné certifikáty" a pod ním adresář "Certifikáty". V práci už nevím, jak to bylo rozčleněné, ale vůbec si nevzpomínám, že by tam tento adresář byl.

Až budu v práci, tak zkusím ty postupy, co navrhujete, ale jak radí např. Davex, tak ten můj certifikát přece není v systému nainstalovaný?

Datum je nastavené na těch počítačích správně.
Davex
Profil
werken313:
ať už ho někdo ručně instaloval nebo nikoli, tak tady v tom rozhraní přece musí být?
Certifikáty serverů se do systémového úložiště certifikátů automaticky neukládají a pokud je nikdo nepřidá do úložiště certifikátů, tak tam nebudou. Pravost serverového certifikátu se běžně ověřuje pomocí certifikátu důvěryhodné CA, který musí být v systému nainstalovaný, aby ověření proběhlo bez chyby.

Rozkliknutím zámečku vedle adresy si můžeš zobrazit podrobnosti certifikátu a mělo by tam být vidět, kdo certifikát vydal a zda jsou všechny certifikáty nadřazených CA důvěryhodné.

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: