Главная » Форум » Gentoo Linux » X и оконные менеджеры

chrom. firefox NET::ERR_CERT_AUTHORITY_INVALID

bagas 27 января, 2017 - 23:03

Доброй вечер.
С недавних пор начала появляться ошибка при посещении сайта по https.
Система
$ uname -rms
Linux 4.4.39-gentoo x86_64
В этих браузерах на системе Gentoo Linux не корректно открывается откраваются безопасные соединения https
google-chrome Версия 56.0.2924.76 (64-bit)
Mozilla Firefox 51.0
на опере все хорошо открывается, видно значек зашиты сайта https
Opera 12.16 Build 1860 for Linux x86_64.
Ваше подключение не защищено

Злоумышленники могут пытаться похитить ваши данные с сайта site.local (например, пароли, сообщения или номера банковских карт). NET::ERR_CERT_AUTHORITY_INVALID
В виндовс таких проем нет, 100% что то с браузерами и корневым сертификатом, мне так кажется.
Время верное и дата.
date
Пт янв 27 21:28:43 +04 2017
Что может быть?

‹ Kaby Lake, поддержка ядром и X[РЕШЕНО] Патч для ядра на nvidia-96.43.23 ›
»

.

Автор Spoiler, дата создания 28 января, 2017 - 10:26.

app-misc/ca-certificates

Мы тоже не всего читали Шнитке!.. © В. Вишневский

»

Этот порт стоит. Calculating

Автор bagas, дата создания 28 января, 2017 - 11:04.

Этот порт стоит.
Calculating dependencies... done!
[ebuild R ] app-misc/ca-certificates-20161102.3.27.2-r2::gentoo USE="-cacert -insecure_certs" 0 KiB

Навсякий случай пересобрал его, ситуация не поменялась.

Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

»

.

Автор Anarchist, дата создания 28 января, 2017 - 11:57.

1. Valid Till (Пн 26 сен 2016 17:56:32 GMT), уже достаточно, для того, чтобы не работало;
2. CA Cert Signing Authority (вангую новый USE cacert, который у тебя -cacert);
3. Ну, а при пересечении условий современные браузеры могут выдавать экзотические сообщения, которые без поллитры не истолкуешь.

:wq
--
Live free or die

»

По первому пункту не понял.

Автор bagas, дата создания 28 января, 2017 - 12:07.

По первому пункту не понял.
$ date
Сб янв 28 10:38:52 +03 2017
разница в пару секунд время.
дата верная.
Временная зона тоже ( /usr/share/zoneinfo/Etc/GMT-3 ).

Пересобрал, ситуация не изменилась.
[ebuild R ] app-misc/ca-certificates-20161102.3.27.2-r2::gentoo USE="cacert -insecure_certs" 0 KiB

Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

»

.

Автор Anarchist, дата создания 28 января, 2017 - 12:12.
bagas написал(а):
По первому пункту не понял.

По первому пункту цитируется поле сертификата на который ругается браузер.
В качестве решения можно предложить выставить системную дату в 20 сентября прошлого года ☺

:wq
--
Live free or die

»

Все равно не понял насчет

Автор bagas, дата создания 28 января, 2017 - 13:47.

Все равно не понял насчет даты.
Сделал как вы советуете.
date
Вт сен 20 12:21:04 +03 2016
Теперь ругается что дата и время отстают.
Часы отстают

Не удалось установить защищенное соединение с доменом site.local из-за неверных настроек системных часов и календаря (вторник, 20 сентября 2016 г., 12:21:10). NET::ERR_CERT_DATE_INVALID
Теперь не один https не открывается.

Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

»

сейчас зашел в

Автор bagas, дата создания 28 января, 2017 - 14:48.

сейчас зашел в винудовс,версия софта:
хром 55
мазила 50
Сайт по https открывается нормально.

Обновил до
хром 56
мозила 51
Https перестал открываться, ошибки как на Linux системе.

Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

»

bagas написал(а): сейчас

Автор Anarchist, дата создания 28 января, 2017 - 14:56.
bagas написал(а):
сейчас зашел в винудовс,версия софта:
хром 55
мазила 50
Сайт по https открывается нормально.

Обновил до
хром 56
мозила 51
Https перестал открываться, ошибки как на Linux системе.

Вывод: в 51-й лисичке переделали логику обработки ошибок https, но при этом недосмотрели сообщения об ошибках.

ЗЫ: =www-client/firefox-45.6.0-r1, ошибка:

www.gentoo.ru uses an invalid security certificate.

The certificate is not trusted because the issuer certificate is unknown.
The server might not be sending the appropriate intermediate certificates.
An additional root certificate may need to be imported.
The certificate expired on 26.09.2016 20:56. The current time is 28.01.2017 13:29.

Error code: SEC_ERROR_UNKNOWN_ISSUER

:wq
--
Live free or die

»

Разобрался.В статье

Автор bagas, дата создания 28 января, 2017 - 15:20.

Разобрался.
В статье полностью пояснят.
https://geektimes.ru/post/281188/
Цитата с хабра

Дополнение от 26.10.2016: Начиная с Firefox 51, сертификаты, выданные WoSign и StartCom после 21 октября 2016 года, будут считаться недействительными. Сертификаты, использующие SHA-1 и выданные задним числом, отзываются через CRL. Корневые сертификаты WoSign и StartCom, с помощью которых были осуществлены нарушения, удалят в будущем. Удостоверяющим центрам придётся выпустить новые корневые сертификаты. Если Mozilla согласится эти новые корневые сертификаты принять, то их включение как раз подгадают к удалению старых. А если не согласится, то старые сертификаты всё равно удалят после марта 2017 года. Что касается аудиторской конторы «Ernst & Young Hong Kong», прозевавшей нарушения у WoSign, то их аудитам отныне доверия нет.
Дополнение от 01.11.2016: Chrome 56 будет помечать сертификаты, выданные WoSign и StartCom после 21 октября 2016 года, как не заслуживающие доверия

.

Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

»

/

Автор Anarchist, дата создания 29 января, 2017 - 00:32.

…неоднократный выпуск сертификатов с идентичными серийными номерами, что формально является нарушением стандартов.

Что с хабраидиотов взять?!?

ЗЫ: Да, на алгоритм хэша не смотрел, что, строго говоря, неправильно.
Однако что SHA1 устарел и его собирались выпиливать — факт, известный ещё летом прошлого года.

:wq
--
Live free or die

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".