вторник, 21 июня 2011 г.

Firefox, Сбербанк онлайн и новый сертификат

В Сбербанк онлайн обновился сертификат и Firefox не доверяет ему (выдаёт ошибку sec_error_unknown_issuer). Это происходит потому, что корневой сертификат организации (Thawte SGC CA - G2, серийный номер 18:A2:23:6C:D7:27:C7:52:8D:F6:7B:4B:85:6E:FF:ED) выдавшей сертификат Сбербанку почему-то не присутсвует в базе сертификатов Firefox.

Thawte SGC CA - G2, в свою очередь, подписан VeriSign-ом (VeriSign Class 3 Public Primary Certification Authority - G518:DA:D1:9E:26:7D:E8:BB:4A:21:58:CD:CC:6B:3B:4A), который присутствует в Firefox.

Чтобы это исправить установите корневой сертификат Thawte SGC CA - G2 выданный VeriSign-ом, для это необходимо:
1) кликнуть на ссылку: http://www.tbs-internet.com/thawte/ThawteSGCG2.crt, появится окно "Вам предлагают доверять новому центру сертификации (CA)";
2) в появившемся окне установить галку "Доверять при идентификации веб-сайтов";
3) нажать ОК.

Проверяйте: https://esk.sbrf.ru

Update: а вот и ответ на вопрос почему.

Раз (не работает):
http://www.sslshopper.com/ssl-checker.html#hostname=esk.sbrf.ru
http://certlogik.com/sslchecker/esk.sbrf.ru/

Два (работает):
http://www.sslshopper.com/ssl-checker.html#hostname=connect.raiffeisen.ru
http://certlogik.com/sslchecker/connect.raiffeisen.ru/

Три:
The ssl chain is not complete. There is nothing that Firefox can do to fix this. The sever admin will need to correct this problem. https://bugzilla.mozilla.org/show_bug.cgi?id=665993
No (The issuer certificate of a locally looked up certificate could not be found. This normally means the web server did not return the intermediate certificates.) - т.е. на сервере сбербанка должен быть установлен ещё и промежуточный сертификат, которого там нет.

И четыре (хоть это уже и не относится к делу, но):
http://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm?test_domain=esk.sbrf.ru
http://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm?test_domain=connect.raiffeisen.ru

Update2: отправил в Сбербанк заявку и проблему с ssl сертификатом пофиксили. Проблема безопасности включенного ssl2 осталась.

Update3: всё полечили (esk.sbrf.ru теперь редиректится на online.sberbank.ru): http://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm?test_domain=online.sberbank.ru

7 комментариев:

none комментирует...

не дай бог пользоваться этим дерьмом от гос банка

Анонимный комментирует...

Что-то не могу понять по какой причине корневой сертификат Thawte, выданный Verisign'ом, скачивается не с сайта Thawte, не с сайта Verisign'а, а с какого-то левого сайта http://www.tbs-internet.com ?

GiNeR комментирует...

Вот ссылка на тот же сертификат на официальном сайте, но она в формате DER, а не PEM и поэтому в один клик не ставится: http://svr-sgc-aia.thawte.com/ThawteSGCG2.cer. Чтобы его установить, нужно его сначала скачать, а потом импортировать в браузер.

Анонимный комментирует...

То ли лыжи не едут, то ли ..
Я скачал архивы с корневыми сертификатами с сайтов Thawte и Verisign:
https://www.verisign.com/support/thawte-roots.zip
http://www.verisign.com/support/roots.zip
и там такого сертификата не нашёл.

GiNeR комментирует...

Могу только сказать, что у Райфайзена сертификат от того же издателя и там всё ок.

GiNeR комментирует...

Проблему с сертификатом пофиксили.

Анонимный комментирует...

Опять не работает