česky | english
Firefox verze 7x: chyba SSL_ERROR_UNKNOWN_CA_ALERT při pokusu jít na stránky CAcert.org
Symptomy
Prohlížeč Firefox verzí 70 a vyšší odmítá zobrazit weby CAcert, například https://www.cacert.org nebo https://wiki.cacert.org - nenabídne ani výběr klientského certifikátu. Na chybové stránce je vypsána chyba SSL_ERROR_UNKNOWN_CA_ALERT. Jiné prohlížeče zobrazují tyto weby bez problémů.
Příčina
CAcert změnil své kořenové certifikáty. Může se tedy stát, že Váš starší klientský certifikát byl podepsán předešlým kořenovým certifikátem třídy 1, č.000000, nebo třídy 3, č. 0A418A. Váš klientský certifikát obsahuje číslo podepisujícího kořenového certifikátu, který již byl zaměněn novým (pořadové číslo třídy 1: 00000F, třídy 3: 00000E).
Firefox od verze 70 tyto vazby kontroluje u všech Vašich klientských certifikátů, a (patrně chybou) jakmile najde certifikát s číslem podepisujícího kořenového certifikátu, který už neexistuje v jeho vnitřním úložišti, ohlásí tuto chybu a odmítne web zobrazit, i když jsou mezi Vašimi klientskými certifikáty i takové, které již byly podepsány novým kořenovým certifikátem.
Náprava
Otevřete Správce certifikátů: Možnosti - Soukromí a zabezpečení - Certifikáty (na konci stránky) - tlačítko Zobrazit certifikáty. Zvolte záložku Osobní. Projděte všechny certifikáty vydané CAcert (doporučuji od nejstarších).
Zobrazte si certifikát. Pokud na záložce Obecné je hned nahoře tučným písmem napsáno, že certifikát nebylo možno ověřit, a na záložce Podrobnosti v horním rámečku Hierarchie certifikátu chybí řetěz kořenového (kořenových) a Vašeho klientského certifikátu, budete muset tento svůj klientský certifikát smazat.
Výpis certifikátu, který je V POŘÁDKU:
Po smazání všech těchto "sirotků" zavřete Správce certifikátů a ukončete Firefox. Po jeho dalším spuštění se již weby CAcertu zobrazí.