Falha na validação de certificado quando um certificado tem vários caminhos de certificação confiáveis para ACs raiz

  • Artigo

Este artigo fornece soluções alternativas para um problema em que o certificado de segurança apresentado por um site não é emitido quando ele tem vários caminhos de certificação confiáveis para ACs raiz.

Aplica-se a: Windows 7 Service Pack 1, Windows Server 2012 R2
Número original do KB: 2831004

Sintomas

Quando um usuário tenta acessar um site seguro, o usuário recebe a seguinte mensagem de aviso no navegador da web:

Há um problema no certificado de segurança do site.

O certificado de segurança apresentado pelo site não foi emitido por uma autoridade de certificação confiável.

Depois que o usuário clicar em Continuar neste site (não recomendado), poderá acessar o site seguro.

Motivo

Esse problema ocorre porque o certificado do site tem vários caminhos de certificação confiáveis no servidor Web.

Por exemplo, suponha que o computador cliente que você está usando confie no certificado de AC (autoridade de certificação) raiz (2). E o servidor Web confia no certificado de AC raiz (1) e no certificado de AC raiz (2). Além disso, o certificado tem os dois caminhos de certificação a seguir para as ACs raiz confiáveis no servidor Web:

  1. Caminho de certificação 1: Certificado do site – Certificado de Autoridade de Certificação Intermediário – Certificado de Autoridade de Certificação raiz (1)
  2. Caminho de certificação 2: Certificado do site – Certificado de Autoridade de Certificação Intermediário – Certificado de Autoridade de Certificação raiz cruzado – Certificado de Autoridade de Certificação raiz (2)

Quando o computador encontra vários caminhos de certificação confiáveis durante o processo de validação do certificado, o Microsoft CryptoAPI seleciona o melhor caminho de certificação calculando a pontuação de cada cadeia. Uma pontuação é calculada com base na qualidade e na quantidade das informações que um caminho de certificado pode fornecer. Se as pontuações dos vários caminhos de certificação forem iguais, a cadeia mais curta será selecionada.

Quando o Caminho de certificação 1 e o Caminho de certificação 2 têm a mesma pontuação de qualidade, o CryptoAPI seleciona o caminho mais curto (Caminho de certificação 1) e envia o caminho para o cliente. No entanto, o computador cliente só pode verificar o certificado usando o caminho de certificação mais longo vinculado ao certificado de AC raiz (2). Logo, a validação do certificado falha.

Solução alternativa

Como solução alternativa para esse problema, exclua ou desabilite o certificado do caminho de certificação que você não deseja usar seguindo estas etapas:

  1. Faça logon no servidor Web como administrador do sistema.

  2. Adicione o snap-in de Certificados ao Console de Gerenciamento Microsoft seguindo estas etapas:

    1. Clique em Iniciar>Executar, digite mmc e pressione Enter.
    2. No menu Arquivo, clique em Adicionar/Remover Snap-in.
    3. Selecione Certificados, clique em Adicionar, selecione Conta de computador e depois clique em Avançar.
    4. Selecione Computador local (o computador no qual este console está sendo executado) e, em seguida, clique em Concluir.
    5. Clique em OK.

  3. Expanda Certificados (Computador Local) no console de gerenciamento e localize o certificado no caminho que você não deseja usar.

    Observação

    Se for um certificado de autoridade de certificação raiz, ele estará contido em Autoridades de Certificação Raiz Confiáveis. Se for um certificado de autoridade de certificação intermediário, ele estará contido em Autoridades de Certificação Intermediárias.

  4. Exclua ou desabilite o certificado usando um dos seguintes métodos:

    • Para excluir um certificado, clique com o botão direito do mouse no certificado e depois clique em Excluir.
    • Para desabilitar um certificado, clique com o botão direito do mouse no certificado, clique em Propriedades, selecione Desabilitar todas as finalidades deste certificado e, em seguida, clique em OK.

  5. Reinicie o servidor se o problema ainda estiver ocorrendo.

Além disso, se a configuração de Política de Grupo Desativar atualização automática de certificados raiz estiver desabilitada ou não estiver configurada no servidor, o certificado do caminho de certificação que você não deseja usar poderá ser habilitado ou instalado quando a próxima criação de cadeia ocorrer. Para alterar a configuração da Política de Grupo, siga estas etapas:

  1. Clique em Iniciar>Executar, digite gpedit.msc e pressione Enter.

  2. Expanda Configuração do Computador>Modelos Administrativos>Sistema>Gerenciamento de Comunicação com a Internet e, em seguida, clique em Configurações de Comunicação com a Internet.

  3. Clique duas vezes em Desativar Atualização Automática de Certificados Raiz, selecione Habilitado e, em seguida, clique em OK.

  4. Feche o Editor de Política de Grupo Local.

Status

Este é o comportamento padrão.