Сертификат StartSSL выдает СЕРТИФИКАТ с ОШИБКОЙ SEC, ОТОЗВАННЫЙ в Firefox, и НЕДЕЙСТВИТЕЛЬНЫЙ СЕРТИФИКАТ ERR в Chrome

Срок действия моего существующего сертификата HTTPS скоро истекает, поэтому я купил новый. Хотя мне очень трудно правильно его установить. У меня есть подстановочный сертификат от StartSSL для *.deadsea.ostermiller.org, который я пытаюсь установить на свой веб-сервер Apache. Моя конфигурация Apache для SSL такова:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Что следует из инструкций, которые я получил от: https://www.startssl.com/Support?v=21 Затем я перезапускаю apache, который перезапускается нормально. Затем я пытаюсь получить доступ https://test.deadsea.ostermiller.org / (который должен выдавать ошибку 404) в разных браузерах, и некоторые из них работают, а некоторые нет.

Curl отлично справляется:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs оценивает его на - и говорит, что ему "доверяют":

Браузер Microsoft Edge поступает правильно:

Chrome выдает ошибку NET::ERR_CERT_AUTHORITY_INVALID:

Firefox дает Ошибка SEC_ERROR_REVOKED_CERTIFICATE:

Safari говорит, что существует недопустимый эмитент:

Что происходит не так и почему между браузерами так много разногласий?

Author: Stephen Ostermiller, 2017-02-01
Source

2 answers

У меня для тебя плохие новости. Сертификатам StartSSL больше не доверяют Chrome, Firefox и вскоре другие браузеры, сначала начните с недавно выданных сертификатов. StartSSL, конечно, не скажет вам об этом и с радостью продаст вам новые сертификаты, продолжая свой крайне сомнительный стиль поведения.

На данный момент все, что я могу порекомендовать, - это контроль повреждений путем покупки другого сертификата с подстановочными знаками (при условии, что вы не будете/не можете использовать Certbot?) откуда-нибудь как cheapsslsecurity.com . Никакой принадлежности, просто предыдущий клиент, и они были дешевыми и простыми в использовании.

Ваш новый сертификат больше не годится, и вы должны его заменить.

 26
Author: Tom Brossman, 2017-02-02 12:26:59

StartSSL подтвердил, что это связано с частично отозванным корневым сертификатом StartCom. Они работают над тем, чтобы браузеры снова полностью доверяли их корневому сертификату. Похоже, конец февраля будет самым ранним сроком, так что не успею помочь моим сертификатам, срок действия которых истекает через две недели.:-(

Кому: Стивену Остермиллеру,

Это электронное сообщение было создано сотрудниками администрации StartCom:

Привет,

Все сертификаты, выданные до 21.10.2016, не затрагиваются. Сертификатам, выданным после 21.10.2016, не доверяют в браузерах Chrome, Firefox и Safari.

Официальный документ о недоверии> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Мы усердно работаем над планом восстановления (https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ), и мы делаем все, чтобы как можно скорее восстановить доверие. Один из шагов уже полностью сделано - https://startssl.com/NewsDetails?date=20160919

У нас есть некоторые задержки с промежуточным решением, но дополнительная информация будет получена только позже в феврале.

Пожалуйста, примите наши извинения за доставленные неудобства.

Пожалуйста, не отвечайте на это электронное письмо. Это неконтролируемый адрес электронной почты, и на ответы на это письмо нельзя ответить или прочитать. Если у вас есть какие-либо вопросы или комментарии, просто нажмите здесь ((https://startssl.com/reply ) чтобы отправить нам свой вопрос, спасибо.

С наилучшими пожеланиями
Центр сертификации StartCom™

Лаборатории SSL Qualys

Что касается того, почему Qualys SSL Labs не сообщает об ошибке, я нашел тему на их форумах, в которой говорится, что им придется жестко прописать конкретный случай для этого, потому что отзыв не был обработан обычным способом. Они еще не сделали этого, но у них есть открытая ошибка, чтобы сделать так что.

Центр сертификации не был обычным отозванным, поэтому нет способа узнать, просто взглянув на OCSP или CRL для отозванных сертификатов. По данным Mozilla, Google и Apple, StartCom нарушили несколько правил, но поскольку StartCom является одним из ведущих центров сертификации, было бы слишком большим действием просто отозвать сертификат центра сертификации, миллионы веб-страниц перестали бы работать. Они решили, что перестанут доверять новым сертификатам, выданным этим центром сертификации, начиная с новой версии браузер. Об этом было объявлено около двух месяцев назад, поэтому у веб-администраторов было время получить новый сертификат от другого центра сертификации.

Это не доверять изменению CA жестко запрограммировано в НОВЫХ версиях браузеров, поэтому для того, чтобы получить некоторые полезные результаты на ssllabs.com, эти правила также должны быть жестко запрограммированы в тесте. Не самое красивое решение, но оно выглядит единственным.

Firefox

Блог безопасности Mozilla: Не доверяя новому WoSign и StartCom Сертификаты

Хром

Google и Chrome не доверяют сертификатам WoSign и StartCom

Chrome постепенно удаляет эти сертификаты, вызывающие недоверие, с последующими выпусками браузера.

  • Chrome 56 не доверяет всем сертификатам, выданным после 21 октября 2016 года.
  • Chrome 57 также не доверяет всем старым сертификатам, если только сайт не входит в топ-миллион сайтов Alexa.
  • Chrome 58 также не доверяет всем старым сертификаты, если только сайт не входит в топ-500 000 Alexa.
  • Chrome 61 не доверяет ВСЕМ сертификатам, подписанным StartSSL и WoSign

Сафари

Apple и Safari блокируют доверие для бесплатного SSL-сертификата WoSign CA G2

Конец StartCom

Я получил следующее электронное письмо от StartCom об их закрытии:

Уважаемый клиент,

Как вы, несомненно, знаете, создатели браузеров не доверял StartCom около года назад, и поэтому все сертификаты конечных объектов, недавно выпущенные StartCom, по умолчанию не являются надежными в браузерах.

Браузеры установили некоторые условия для повторного принятия сертификатов. Хотя StartCom считает, что эти условия были выполнены, похоже, что все еще существуют определенные трудности. Учитывая эту ситуацию, владельцы StartCom решили прекратить деятельность компании в качестве Центра сертификации, поскольку упоминается на веб-сайте Startcom.

StartCom прекратит выдачу новых сертификатов с 1 января 2018 года и будет предоставлять услуги CRL и OCSP только в течение еще двух лет.

StartCom хотел бы поблагодарить вас за вашу поддержку в это трудное время.

StartCom связывается с некоторыми другими центрами сертификации, чтобы предоставить вам необходимые сертификаты. В случае, если вы не хотите, чтобы мы предоставляли вам альтернативу, пожалуйста, свяжитесь с нами по адресу [email protected]

Пожалуйста, дайте нам знать, если вам понадобится какая-либо дополнительная помощь в процессе перехода. Мы приносим глубокие извинения за любые неудобства, которые это может вызвать.

С наилучшими пожеланиями, Центр сертификации StartCom

 8
Author: Stephen Ostermiller, 2017-12-02 18:01:21