Certificaten stuk in IE11

Even voor de duidelijkheid IE8 op Windows XP of IE11 op Windows 7 of hoger?

Voor de zekerheid; staat de datum/tijd goed ingesteld op die machine?

Of anders deze optie eens proberen: https://support.microsoft.com/nl-nl/kb/2661254

[ Voor 37% gewijzigd door Han op 02-01-2017 16:02 ]

Zit het certificaat van GlobalSign wel nog in de Root-store? Volgens mij gebruikt o.a. Firefox een eigen certificate store... Misschien anders de root-map van een van de andere Windows 7 machines exporteren en op deze machine importeren?

sanfranjake schreef op maandag 2 januari 2017 @ 17:06:
Zit het certificaat van GlobalSign wel nog in de Root-store? Volgens mij gebruikt o.a. Firefox een eigen certificate store... Misschien anders de root-map van een van de andere Windows 7 machines exporteren en op deze machine importeren?

Firefox maakt inderdaad gebruik van een eigen cert store. Ik zet mijn geld in op sanfranjake

Ik volg deze even. Heb hier een bizar vergelijkbaar probleem voor...

WerkPC met W7E en IE11. Kan niet meer op https://*.wikipedia.org. Certificate error, geen mogelijkheid om verder te gaan.

https://meta.wikimedia.org werkt wél (met waarschuwing), en dan krijg ik hetzelfde scherm als de TS, ook dezelfde vervaldatums, etc. Dus lijkt erop dat dit exact hetzelfde probleem is.

Ondertussen heb ik op een andere PC de Globalsign certs geexporteerd, en ze dan proberen te importeren op mijn PC. Tot op heden geen succes. Ook de certutil cachedelete optie gedaan, werkt wel maar probleem blijft.

Kun je eens een screenshot van het zelfde scherm doen als in de TS maar dan het laatste tabje? "Certification Path"

Globalsign heeft meerdere roots, en wikipedia heeft meerdere paths die naar verschillende roots lopen. Vermoedelijk heb je ook problemen hier: https://2029.globalsign.com/

Het volgende root-certificaat zou aanwezig moeten zijn om de verbinding te kunnen vertrouwen:
GlobalSign Root R3 "GlobalSign"
SHA1 fingerprint: d6:9b:56:11:48:f0:1c:77:c5:45:78:c1:09:26:df:5b:85:69:76:ad
Hier te downloaden: https://support.globalsig...balsign-root-certificates
Volgens mij zou deze gewoon met Windows updates mee moeten komen, maar het is een "relatief nieuw" certificaat.

Let even op als je een certificaat installeerd dat je mogelijk zelf de juiste Store moet kiezen.

[ Voor 38% gewijzigd door OnTracK op 04-01-2017 13:13 ]

Dank voor de hulp.

https://2029.globalsign.com/ geeft ook problemen inderdaad.

Heb je tîp ook al eens gedaan zonder resultaat, net opnieuw uitgevoerd en resultaat blijft hetzelfde...hij blijft dezelfde fout geven.

Qua store, welke zou dat dan moeten zijn? Ik heb het getest bij Personal, Trusted Publishers en Trusted Root Certification Authorities.

[ Voor 9% gewijzigd door TooTall op 04-01-2017 13:21 ]

Hij moet staan in "Trusted Root Certification Authorities"
Mocht hij daar staan, kun je dan eens kijken wat er onder "Details" => "Key Usage" en "Enhanced key usage" staat. En wat er aangevinkt staat als je op "Edit properties" drukt.

[ Voor 65% gewijzigd door OnTracK op 04-01-2017 13:29 ]

Aha.

Ik krijg hem er niet in. In de andere stores wél, maar in "Trusted Root Certification Authorities" niet. Ik doorloop het importproces, hij geeft aan dat de import gelukt is, maar toch komt hij er niet tussen.

Ik heb in "Trusted Root Certification Authorities" 2 Globalsigns staan, die ik niet kan verwijderen.

Globalsign Root CA = ‎b1 bc 96 8b d4 f4 9d 62 2a a8 9a 81 f2 15 01 52 a4 1d 82 9c
Globalsign = ‎75 e0 ab b6 13 85 12 27 1c 04 f8 5f dd de 38 e4 b7 24 2e fe

Die van jou (d6:9b:56:11:48:f0:1c:77:c5:45:78:c1:09:26:df:5b:85:69:76:ad) komt er dus niet tussen.

Kun je hem dan eerst eens weghalen uit "Trusted publishers"? Bij mij zitten daar 0 certificaten in, en ik weet niet of het wel mogelijk is meerdere keren hetzelfde certificaat in verschillende Stores te hebben.

Weggehaald uit Trusted Publishers, opnieuw importeren doet nog altijd niets. Enkel de 2 uit mijn vorige post zijn zichtbaar

Ik weet niet precies welke rechten je nodig hebt om hier dingen in te wijzigen. Dat zou een issue kunnen zijn aangezien het je werk-PC is?

Een ander idee dat ik heb is dat het certificaat voorkomt in de "Untrusted Certificates". Daar kun je eens doorheen kijken of je diezelfde thumbprint daarin ziet voorkomen.

Niets in de untrusted.

Het is inderdaad een werk-PC, zal eens aan de admin vragen om een import te doen met admin-rechten. Dit gaat echter niet voor zometeen zijn...

Iets wat ik wel kan zeggen, als iets bij ons achter admin-rechten zit staat dat ook duidelijk aangegeven (knoppen greyed-out, of een admin logo erlangs). Niets van dat zichtbaar in de certificaten dialog box.

De work-around van sanfranjake (het toch beschikbaar maken van de optie "continue to this website") kan ik bijvoorbeeld pas met admin-rechten testen, dus ga dat proberen straks nog eens te doen...

Dankjewel voor het meedenken trouwens, en excuses aan de TS voor de hijack maar ik denk dat het probleem wel hetzelfde gaat zijn

[ Voor 68% gewijzigd door TooTall op 04-01-2017 14:09 ]

OnTracK schreef op woensdag 4 januari 2017 @ 13:07:
Globalsign heeft meerdere roots, en wikipedia heeft meerdere paths die naar verschillende roots lopen. Vermoedelijk heb je ook problemen hier: https://2029.globalsign.com/

Het volgende root-certificaat zou aanwezig moeten zijn om de verbinding te kunnen vertrouwen:
GlobalSign Root R3 "GlobalSign"
SHA1 fingerprint: d6:9b:56:11:48:f0:1c:77:c5:45:78:c1:09:26:df:5b:85:69:76:ad
Hier te downloaden: https://support.globalsig...balsign-root-certificates
Volgens mij zou deze gewoon met Windows updates mee moeten komen, maar het is een "relatief nieuw" certificaat.

Let even op als je een certificaat installeerd dat je mogelijk zelf de juiste Store moet kiezen.

SHA1

Check:
https://blog.mozilla.org/...e-out-sha-1-certificates/

[ Voor 78% gewijzigd door Squ1zZy op 04-01-2017 19:37 ]

Het is geen SHA1 certificaat, maar een SHA1 fingerprint, het certificaat heeft een SHA256 signature algorithm. Je kunt een fingerprint in allerlei formaten geven en het is alleen maar om een certificaat te identificeren.

Daarnaast is het een root-certificaat, waarvoor die beperking niet geldt. Aangezien er niks berekend hoeft te worden aan root-certificaten. Zie ook op die pagina:

Root certificates are trusted by virtue of their inclusion in Firefox, so it does not matter how they are signed.

[ Voor 16% gewijzigd door OnTracK op 04-01-2017 19:49 ]

Wel, ik ben net op mijn werk aangekomen, en het werkt...raar want ik heb na mijn bericht van gisteren avond niets meer gedaan. Dus na OnTracK zijn suggestie van de GlobalSign Root R3 "GlobalSign" tte installeren met fingerprint: d6:9b:56:11:48:f0:1c:77:c5:45:78:c1:09:26:df:5b:85:69:76:ad in de "Trusted Root Certification Authorities" te importeren.



Het 'hoofd'certificaat is nieuw, stond er gisteren nog niet. Heeft fingerprint is ‎5f b7 ee 06 33 e2 59 db ad 0c 4c 9a e6 d3 8f 1a 61 c7 dc 25.

Ik kwam toevallig een uitleg tegen hierover:
https://security.stackexc...cates-for-wikipedia-sites

Je hebt nog steeds kans het GlobalSign certificaat tegen te komen. Het is geen enkel probleem om meerdere verschillende certificaten te hebben voor hetzelfde domein. Wikipedia heeft op regio het meegegeven certificaat gesegmenteerd. Ik zie ook het DigiCert certificaat, maar via SSLLabs zie ik nog steeds het GlobalSign certificaat.