Mozilla：错误sec_error_unknown_issuer（大声考虑）

今天早上，在喝了一杯巧克力咖啡之后，我想到了将通常的Chrome浏览器更改为Firefox的想法。造成这种情况的原因很可能不是咖啡，而是最近我的浏览器异常缓慢。首次启动后，我在地址栏中输入了“ google.ru”，然后看到以下错误：



浏览器甚至没有赋予忽略该错误的权利。出于习惯，我要做的第一件事是查看日期和时间。在确保正确设置了计算机上的时间参数之后，他切换到了另一个yandex.ru资源：



这里的情况要好一些，Firefox已经提供了将证书添加到受信任存储库的方法。在这里，我不得不打开大脑，因为我积极使用Yandex.Money服务，任何泄漏对我来说都很重要。首先，我决定检查浏览器到底对证书不满意的地方：对颁发证书



的一方不信任。在使用安全HTTPS连接的所有资源上都有这样的图片。
很多理论：
要使用加密的通信通道，您的浏览器使用SSL（或TLS）协议（HTTPS使用它），而SSL协议又使用身份验证证书。该证书存储用于加密数据和识别正在访问的WEB服务器的信息。除了证书中存储的所有其他信息（加密类型，备用名称等）之外，我们还关注可解决问题1（在开放网络中进行加密）的公钥，以及有关颁发此证书的中心（可解决问题2）的信息。 -信任公钥。

我将举例说明。

场景1：

1. Yandex服务想要与其用户组织一个安全的通信渠道，并为此生成一对密钥（公共和私有）。
2.作为Yandex服务的客户，我从他那里收到了一个公共密钥，并用它加密了他的所有数据。同时，我确信只有私钥的所有者才能读取数据，在我们的例子中，所有者是Yandex服务。
因此，Yandex服务解决了开放网络中的加密问题。

但是，如果您和Yandex服务之间存在某种Trojan病毒（例如，作为传递代理服务器），该怎么办... ???

方案2：

1.木马从Yandex服务接收公共密钥。
2.木马生成一对密钥，并代表Yandex服务将打开的部分转移给您。
3. Yandex服务发送给您的所有消息都被特洛伊木马拦截并解密，然后特洛伊木马使用Yandex的密钥加密此数据并将其传输给它。这就是问题2出现的地方，即信任公钥的问题。

此问题由Yandex服务和客户端都信任的第三方解决。在这种情况下，记录指向AtomPark Software Inc，该公司向Yandex服务发布了相同的真实性证书。

让我们回到我的证书，并确保我们信任第三方。在“颁发者”组的“通用名称（CN）”字段中是AtomPark Software Inc条目。此证书颁发机构信任的第一个标志是其根证书在信任库中的存在。在Mozille中，可以这样打开此列表：设置->高级->证书->查看证书->证书颁发机构。我按名称找到了证书：



乍一看，一切都井井有条。我决定验证SHA1证书的指纹。我进入了层次结构，并看到了以下内容：



在证书层次结构中，根证书是证书本身（自签名）。
为了最终确保该证书无效，Chrome浏览器对当前证书进行了在线验证sslshopper.com并检查了序列号：



现在有必要找到该木马。代理设置中的所有内容都很干净，防病毒软件未给出任何结果。我进入了网络监视，并注意到每当访问Web服务时便有一个活动的应用程序：



Internet上的第一个链接显示了所有地图。事实证明，最近我们的管理层对保护机密信息的政策进行了一些修订。决定为所有员工安装StaffCop程序，以监视员工的活动。禁用此服务后，不仅解决了证书问题，而且还解决了我的主Chrome浏览器。尽管进行了详尽的说明，但实际上问题很快得到解决，我希望我的行动顺序能对某人有所帮助。

最后，“正确”证书应如下所示：

Source: https://habr.com/ru/post/zh-CN385219/