Firefox verze 7x: chyba SSL_ERROR_UNKNOWN_CA_ALERT při pokusu jít na stránky CAcert.org

Symptomy

Prohlížeč Firefox verzí 70 a vyšší odmítá zobrazit weby CAcert, například https://www.cacert.org nebo https://wiki.cacert.org - nenabídne ani výběr klientského certifikátu. Na chybové stránce je vypsána chyba SSL_ERROR_UNKNOWN_CA_ALERT. Jiné prohlížeče zobrazují tyto weby bez problémů.

Příčina

CAcert změnil své kořenové certifikáty. Může se tedy stát, že Váš starší klientský certifikát byl podepsán předešlým kořenovým certifikátem třídy 1, č.000000, nebo třídy 3, č. 0A418A. Váš klientský certifikát obsahuje číslo podepisujícího kořenového certifikátu, který již byl zaměněn novým (pořadové číslo třídy 1: 00000F, třídy 3: 00000E).

Správce certifikátů

Firefox od verze 70 tyto vazby kontroluje u všech Vašich klientských certifikátů, a (patrně chybou) jakmile najde certifikát s číslem podepisujícího kořenového certifikátu, který už neexistuje v jeho vnitřním úložišti, ohlásí tuto chybu a odmítne web zobrazit, i když jsou mezi Vašimi klientskými certifikáty i takové, které již byly podepsány novým kořenovým certifikátem.

Náprava

Otevřete Správce certifikátů: Možnosti - Soukromí a zabezpečení - Certifikáty (na konci stránky) - tlačítko Zobrazit certifikáty. Zvolte záložku Osobní. Projděte všechny certifikáty vydané CAcert (doporučuji od nejstarších).

Zobrazte si certifikát. Pokud na záložce Obecné je hned nahoře tučným písmem napsáno, že certifikát nebylo možno ověřit, a na záložce Podrobnosti v horním rámečku Hierarchie certifikátu chybí řetěz kořenového (kořenových) a Vašeho klientského certifikátu, budete muset tento svůj klientský certifikát smazat.

Výpis certifikátu, který je V POŘÁDKU:

Záložka Obecné Záložka Podrobnosti

Po smazání všech těchto "sirotků" zavřete Správce certifikátů a ukončete Firefox. Po jeho dalším spuštění se již weby CAcertu zobrazí.


FAQ/Firefox-CAcert/CZ (last edited 2019-11-23 16:58:30 by AlesKastner)