Remove From My Forums

Problemi su IE7 con sito ssl dopo rinnovo certificato Thawte

Domanda
0

Registrati per votare

Un saluto a tutti,
ho rinnovato il certificato sul sito IIS5 che esponiamo tramite una DMZ. Il certificato è della Thawte. Dopo il rinnovo noto che quando mi collego a questo sito https con il browser internet, ottengo una segnalazione che: sia per firefox che per IE7 indica sostanzialmente che non è individuata l'autorità di certificazione ("Il certificato non è affidabile in quanto l’autorità emittente è sconosciuta" per Firefox e "Certificato proveniente da un’autorità di certificazione non disponibile nell’elenco locale" per IE7). Ora cercherò di capire con il fornitore del certificato il perchè di una tale segnalazione visto che loro sono una CA riconosciuta. Intanto però vorrei verificare che non sia un problema del browser. Ho un comportamento diverso fra i 2 browser. Con Firefox se si accetta il certificato proposto e si acconsente all'eccezione di questo sito non si avranno più segnalazioni. Con IE7 invece si continua ad avere la pagina di errore "Si è verificato un problema con il certificato di protezione del sito Web" dalla quale si procede solo cliccando sulla scritta "Continuare con il sito Web (scelta non consigliata)". Anche se si controlla dalla box "errore certificato" e si installa il certificato, le cose non cambiano e si accede solo dopo aver confermato la solita frase "Continuare con il sito Web (scelta non consigliata)". Ho installato il certificato in IE7 in posizione automatica e anche con scelta della cartella (ho provato sia su "personale" che "autorità certificati fonte attendibile") ma non è cambiato nulla. C'è il modo di superare questa segnalazione su IE7? Debbo tirare le orecchie al fornitore del certificato?

Grazie

sabato 25 settembre 2010 06:18

Risposte

1

Registrati per votare
puoi dedurne che avendomi costretto a cercare forse la mia ipotesi non vale del tutto e riesci a salvarti in corner :-)

dalla mia ricerca ho trovato questo avviso che riguarda il root certificate di Thawte

http://www.networking4all.com/en/ssl+certificates/ssl+news/root+upgrade+for+ssl+certificates+thawte/

in cui c'è scritto

You'll receive the new intermediate certificates with each application, renewal or replacement of the SSL Certificate (included in the zip file). Do you have any questions regarding this notification, please contact our support department at support@networking4all.com or call +31 (0)20-7881030.

quindi nel file zip dovresti avere anche il root certificate altrimenti contatta l'indirizzo mail o il numero riportati qui sopra.

Installa questo root certificate sul tuo web server con windows 2000 e il tuo attuale certificato risulterà pienamente valido.

Ciao.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org
- Proposto come risposta Edoardo BenussiMVP domenica 26 settembre 2010 16:50
- Contrassegnato come risposta Vincenzo Di RussoMVP, Moderator venerdì 1 ottobre 2010 08:05
domenica 26 settembre 2010 16:50

Tutte le risposte

0

Registrati per votare

Vedi:
"Informazioni sugli errori del certificato"
e
"Warning message when a user tries to connect to a secure Web site by using Internet Explorer 7: "There is a problem with this website's security certificate"".
Vincenzo Di Russo
Microsoft® MVP Windows Internet Explorer, Windows Desktop Experience & Security since 2003.
Moderator in the Microsoft Answers and TechNet Forums Italy
My MVP Profile: https://mvp.support.microsoft.com/profile/Vincenzo

sabato 25 settembre 2010 07:57

Moderatore
1

Registrati per votare

Temo che il problema sia più grave anche se spero di sbagliarmi ma sono costretto a fare un'ipotesi.

I root certificates delle autorità di certificazione sono quelli che vengono distribuiti da Microsoft mediante gli aggiornamenti di Windows Update secondo questo articolo della KB http://support.microsoft.com/kb/931125.

Gli ultimi aggiornamenti dei "certificati principali" sono stati rilasciati come update nell'ordine a maggio 2009, a novembre 2009 e ad agosto 2010.

Ora, tu hai un web server con IIS 5.0, ossia hai un Windows 2000 Server il cui supporto esteso è terminato definitivamente il 13 luglio 2010 pertanto non puoi più ottenere aggiornamenti da Windows Update (ammesso e non concesso che il tuo windows server fosse aggiornato sino a questa data).

Per verificare se il certificato che ti è stato rilasciato da Thawtee è valido dovresti provare ad importarlo su un altro sistema operativo come xp, vista, seven, win2k3, win2k8 che sia aggiornato fino all'ultima patch e verificare se, anche in questo caso, la catena di certificazione è interrotta oppure no.

a) se non lo è allora la mia ipotesi è valida e non puoi fare nulla se non cambiare sistema operativo al web server installando qualcosa di più recente di windows 2000

b) se lo è, allora è il certificato ad essere sbagliato e ne devi chiedere un altro al tuo fornitore.

HTH
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

sabato 25 settembre 2010 08:48
0

Registrati per votare

Molto interessante la tua ipotesi.

Mi puoi spiegare meglio come fare la verifica del certificato. Parli di importazione su altro sistema operativo aggiornato... Intendi importare il certificato su un pc client? Come verifico che la catena di certificazione è interrotta. Scusa la mia ignoranza ma è la prima volta che affronto problemi lagati ai certificati. Grazie

P.S. Non ho ancora capito come si fa in questi ng microsoft a riportare parti di discussioni degli interlocutori (forse è citazione? Ma non capisco come usarlo...)

Grazie

domenica 26 settembre 2010 07:39
0

Registrati per votare

sbrigo subito il ps. la tua ipotesi è corretta: con "citazione" viene riportato il post immeditamente precedente del quale puoi quotare le frasi scritte e scrivere sotto le tue considerazioni, domande o altro.

per quanto riguarda la mia ipotesi e la prova da fare: sul windows 2000 lanci la Microsoft Management Console (start, esegui, scrivi "mmc" e clicchi ok), poi aggiungi lo snap in dei certificati (dal menu file, scegli "aggiungi snap in", scegli "certificati", scegli certificati del computer locale) e nel percorso a sinistra col nome del server, certificati personali trovrai nel panel di destra il certificato del tuo web server. facci click sopra col tasto destro e scegli di esportarlo in un file dove ti fa più comodo, poi copia quel file ed incollalo in un pc qualsiasi con sistema operativo aggiornato, importa il file di certificato lasciando al sistema la collocazione nel percorso corretto, poi anche su questo sistema riapri lo snap in dei certificati allo stesso modo, vai a fare click destro sul certificato e scegli "visualizza", quando vedi il certificato spostati sulla tab "percorso di certificazione" e vedrai se il certificato root valida il certificato (cosa che d'altra parte potresti vedere anche prima perchè se il certificato root non è presente o non è corretto vedrai segnalato il fatto che il certificato non risulta valido neanche sul sistema su cui l'hai copiato).

ciao.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

domenica 26 settembre 2010 08:46
0

Registrati per votare

Ti fornisco i risultati dopo importazione del certificato (ho importato il file certificato in formato PFX)

Nella tab “Generale” del certificato importato sul pc trovo:
“Informazioni insufficienti per verificare il certificato”
Rilasciato a: “pinco.dominio.it” (nomi sostituiti ma fa riferimento all’esatto “common name” inserito in fase di rinnovo con Thawte)
Rilasciato da: Thawte DV SSL CA
Valido dal 24/09/2010 al 22/12/2012

Nella tab “Percorso certificazione” trovo:
una icona di certificato con sopra un triangolino giallo con il punto esclamativo e a fianco ancora il mio common name pinco.dominio.it.
Nella box “Stato certificato” compare la scritta: “Impossibile trovare l’emittente del certificato”

Cosa debbo dedurne?

Grazie

domenica 26 settembre 2010 13:55
1

Registrati per votare
puoi dedurne che avendomi costretto a cercare forse la mia ipotesi non vale del tutto e riesci a salvarti in corner :-)

dalla mia ricerca ho trovato questo avviso che riguarda il root certificate di Thawte

http://www.networking4all.com/en/ssl+certificates/ssl+news/root+upgrade+for+ssl+certificates+thawte/

in cui c'è scritto

You'll receive the new intermediate certificates with each application, renewal or replacement of the SSL Certificate (included in the zip file). Do you have any questions regarding this notification, please contact our support department at support@networking4all.com or call +31 (0)20-7881030.

quindi nel file zip dovresti avere anche il root certificate altrimenti contatta l'indirizzo mail o il numero riportati qui sopra.

Installa questo root certificate sul tuo web server con windows 2000 e il tuo attuale certificato risulterà pienamente valido.

Ciao.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org
- Proposto come risposta Edoardo BenussiMVP domenica 26 settembre 2010 16:50
- Contrassegnato come risposta Vincenzo Di RussoMVP, Moderator venerdì 1 ottobre 2010 08:05
domenica 26 settembre 2010 16:50
0

Registrati per votare

Non ho colto bene il problema nei dettagli, ma la tua indicazione è utilissima dato che mi attiverò subito con il rivenditore del certificato (ssl247.it) e direi che posso sostenere che il problema è legato a Thawte e al fatto che mi mancherebbe il root certificate, dico bene?.
P.S. Ancora su come scrivere i messaggi in questi forum Microsoft. Mi sono accorto che un ritorno a capo genera troppo spazio di interlinea e per ridurlo debbo passare con del copia/incolla il messaggio in un editor. Tu come fai a gestire l'interlinea che vuoi?
Grazie ancora!!!

domenica 26 settembre 2010 20:05
0

Registrati per votare

Mi sono accorto che un ritorno a capo genera troppo spazio di interlinea e per ridurlo debbo passare con del copia/incolla il messaggio in un editor. Tu come fai a gestire l'interlinea che vuoi?
Bug (o "by design"?).

Shift + Invio.
Vincenzo Di Russo
Microsoft® MVP Windows Internet Explorer, Windows Desktop Experience & Security since 2003.
Moderator in the Microsoft Answers and TechNet Forums Italy
My MVP Profile: https://mvp.support.microsoft.com/profile/Vincenzo

lunedì 27 settembre 2010 04:59

Moderatore
0

Registrati per votare

Non ho colto bene il problema nei dettagli, ma la tua indicazione è utilissima dato che mi attiverò subito con il rivenditore del certificato (ssl247.it) e direi che posso sostenere che il problema è legato a Thawte e al fatto che mi mancherebbe il root certificate, dico bene?.

invia al tuo fornitore il link che ti ho postato e digli che ti manca il root, p meglio, l'intermediate certificate rilasciato da Thawte il 27 giugno 2010 (ovviamente controlla prima che non sia inserito nello zip che ti è stato inviato.

ciao.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

lunedì 27 settembre 2010 06:49
1

Registrati per votare

Ho fatto la richiesta al fornitore che ha aperto un caso in thawte. Ad oggi non ho ancora avuto risposta.
Se vi interessa quando avrò risolto vi farò sapere. Grazie a tutti e in particolare a Edo per il preziosissimo supporto.

ciao

mercoledì 29 settembre 2010 14:02
0

Registrati per votare

beh a questo punto siamo curiosi di sapere come va a finire quindi grazie per tenerci aggiornati.

ciao.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

mercoledì 29 settembre 2010 14:24
0

Registrati per votare

Direi che dipendeva proprio dall'Intermediate Certificate Autority.
Per ora funziona tutto senza problemi e vengono superati anche i test previsti dal sito Thawte check.

Mi è stato fornito il file che ho importato sul server in un punto particolare.
Con la mmc certificate su Local (MMC/Add/Remove Snap-in/Click Add / Certificates / Add / Computer Account / Select Local Computer)
andare in 'Intermediate Certification Authorities' folder / Right-Click on 'Certificates' folder / All Tasks / Import.
Seguire il “Certificate Import Wizard”, fino ad indicare il percorso del file “Intermediate CA Certificate”
Selezionare l’opzione “Place all certificates in the following store” / “Intermediate Certification Authorities”.

Verificare poi la presenza di vecchi root (io non ho trovato niente ma indico come si dovrebbe fare...)
Andare in “Trusted Root Certification Authorities” folder / “Certificates” sub-folder
Localizzare il certificato “Thawte Primary Root CA Expiration Date: 17th July 2036”
Selezionare con il pulsante destro “Thawte Primary Root CA” certificate quindi selezionare “Properties”
Nella sezione Certificate purposes selezionare “Disable all purposes for this certificate”

Riavviare il server IIS o attendere 30 minuti affinchè le modifiche vengano attivate

Grazie ancora per l'attenzione

venerdì 1 ottobre 2010 07:26
0

Registrati per votare

Direi che dipendeva proprio dall'Intermediate Certificate Autority.

grazie del feedback, ciao.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

venerdì 1 ottobre 2010 10:38

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

Problemi su IE7 con sito ssl dopo rinnovo certificato Thawte

Domanda

Risposte

Tutte le risposte