Сертификат StartSSL предоставляет SEC_ERROR_REVOKED_CERTIFICATE в Firefox и ERR_CERT_AUTHORITY_INVALID в Chrome

Мой существующий сертификат HTTPS заканчивается, поэтому я купил новый. Тем не менее, мне очень сложно установить его правильно. У меня есть подстановочный сертификат из StartSSL для *.deadsea.ostermiller.org, который я пытаюсь установить на моем веб-сервере Apache. Моя конфигурация Apache для SSL:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Из инструкций, которые я получил: https://www.startssl.com/Support?v=21 Затем я перезапускаю apache, который перезапускается. Затем я пытаюсь получить доступ к https://test.deadsea.ostermiller.org/ (что должно привести к ошибке 404) в разных браузерах, а некоторые работают, а некоторые нет.


Curl отлично справляется:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs оценивает его A- и говорит, что он «доверено»:


Браузер Microsoft Edge делает правильную вещь:


Chrome предоставляет ошибку NET :: ERR_CERT_AUTHORITY_INVALID:


Firefox дает ошибку SEC_ERROR_REVOKED_CERTIFICATE:


Safari говорит, что существует недопустимый эмитент:


Что происходит не так и почему так много разногласий между браузерами?

18 голосов | спросил Stephen Ostermiller 2 FebruaryEurope/MoscowbThu, 02 Feb 2017 02:21:12 +0300000000amThu, 02 Feb 2017 02:21:12 +030017 2017, 02:21:12

2 ответа


26

У меня для тебя плохие новости. Сертификаты StartSSL больше не доверяют Chrome, Firefox и вскоре другие браузеры , начиная с недавно выпущенных сертификатов . StartSSL не скажет вам это, конечно, и с радостью продаст вам новые сертификаты, продолжая их крайне теневой образ поведения .

В этот момент все, что я могу порекомендовать, - это контроль повреждений, приобретя другой сертификат подстановки (если вы не будете /не можете использовать Certbot?) откуда-то вроде cheapsslsecurity.com . Нет аффилированности, просто предыдущий клиент, и они были дешевыми и простыми в использовании.

Ваш новый сертификат больше не подходит, и вы должны его заменить.

ответил Tom Brossman 2 FebruaryEurope/MoscowbThu, 02 Feb 2017 15:21:26 +0300000000pmThu, 02 Feb 2017 15:21:26 +030017 2017, 15:21:26
8

StartSSL подтвердил, что это связано с частично отозванным корневым сертификатом StartCom. Они работают над тем, чтобы их корневой сертификат полностью доверял браузеру. Похоже, что конец февраля будет самым ранним временным периодом, поэтому не успеем помочь моим сертификатам, срок действия которых истекает через две недели. : - (

  

To: Стивен Остермиллер,

     

Это электронное сообщение было создано административным персоналом StartCom:

     

Здравствуйте,

     

Все сертификаты, выданные до 21.10.2016, не затрагиваются. Сертификаты, выпущенные после 21.10.2016, не доверяют браузерам Chrome, Firefox и Safari.

     

Официальный документ о недоверии> https: //blog.mozilla .org /безопасность /2016/10/24 /недоверие-новый wosign-и-Старток-сертификаты /

     

Мы много работаем над планом исправления ( https://bugzilla.mozilla.org /show_bug.cgi?id=1311832 ), и мы делаем все, чтобы восстановить доверие как можно скорее. Один из шагов уже выполнен - ​​ https://startssl.com/NewsDetails?date=20160919

     

У нас есть некоторые задержки с временным решением, но у нас будет больше информации только в феврале.

     

Приносим извинения за неудобства.

     

Пожалуйста, не отвечайте на это письмо. Это неконтролируемый адрес электронной почты, и ответы на это письмо не могут быть отредактированы или прочитаны.   Если у вас есть какие-либо вопросы или комментарии, просто нажмите здесь (( https://startssl.com/reply ), чтобы отправьте свой вопрос нам, спасибо.

     

С наилучшими пожеланиями -   StartCom ™ Сертификационный центр

Qualys SSL Labs

Что касается того, почему Qualys SSL Labs не сообщает об ошибке, я обнаружил поток на своих форумах , в котором говорится, что им придется жестко закодировать конкретный случай для него, потому что отзыв не обрабатывался обычным способом. Они еще не сделали этого, но у них есть ошибка, открытая для этого .

  

CA не был отменен обычным способом, поэтому нет никакого способа узнать, как просто смотреть OCSP или CRL для отозванных сертификатов. StartCom в соответствии с Mozilla, Google и Apple нарушили несколько правил, но поскольку StartCom является одним из ведущих центров сертификации, это было бы слишком большим действием, чтобы просто отменить сертификат CA, миллионы веб-страниц перестали бы работать. Они решили, что они перестанут доверять новым выпускаемым сертификатам этим ЦС, начиная с новой версии браузера. Это было объявлено как два месяца назад, поэтому веб-администраторы успели получить новый сертификат от другого ЦС.

     

Это не следует доверять изменению CA жестко закодировано в НОВЫХ версиях браузеров, поэтому, чтобы иметь некоторые полезные результаты на ssllabs.com, эти правила также должны быть жестко закодированы в тесте. Не решение большинства претензий, но оно выглядит единственно.

Firefox

Блог безопасности Mozilla: Не доверяйте новым сертификатам WoSign и StartCom

Chrome

Google и Chrome Не доверяют сертификатам WoSign и StartCom

Chrome постепенно удаляет эти сертификаты с последующим браузеромрелизы .

  • Chrome 56 не доверяет всем сертификатам, выпущенным после 21 октября 2016 года.
  • Chrome 57 также не доверяет всем старым сертификатам, если сайт не находится в Alexa на один миллион сайтов.
  • Chrome 58 также не доверяет всем старым сертификатам, если сайт не находится в верхней части Alexa 500 000.
  • Chrome 61 недоверие ВСЕ , подписанные StartSSL и WoSign

Safari

Блокировка Apple и Safari для WoSign CA Бесплатный SSL-сертификат G2

Конец StartCom

Я получил следующее сообщение от StartCom о том, что они завершают работу:

  

Уважаемый клиент,

     

Как вы, безусловно, знаете, производители браузеров не доверяли StartCom около года назад, и поэтому все сертификаты конечных объектов, выпущенные StartCom, по умолчанию не используются в браузерах.

     

В браузерах были введены некоторые условия для повторного принятия сертификатов. Хотя StartCom полагает, что эти условия выполнены, похоже, все еще есть определенные трудности. Учитывая эту ситуацию, владельцы StartCom решили прекратить деятельность компании в качестве центра сертификации, упомянутого на веб-сайте Startcom.

     

StartCom перестанет выдавать новые сертификаты с 1 января 2018 года и будет предоставлять только услуги CRL и OCSP еще на два года.

     

StartCom благодарит вас за вашу поддержку в это трудное время.

     

StartCom связывается с некоторыми другими ЦС, чтобы предоставить вам необходимые сертификаты. Если вы не хотите, чтобы мы предоставили вам альтернативу, пожалуйста, свяжитесь с нами по адресу [email protected]

     

Пожалуйста, сообщите нам, если вам нужна дальнейшая помощь в процессе перехода. Мы глубоко извиняемся за любые неудобства, которые это может вызвать.

     

С уважением,   Центр сертификации StartCom

ответил Stephen Ostermiller 2 FebruaryEurope/MoscowbThu, 02 Feb 2017 18:07:06 +0300000000pmThu, 02 Feb 2017 18:07:06 +030017 2017, 18:07:06

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132