Certyfikat StartSSL daje SEC_ERROR_REVOKED_CERTIFICATE w przeglądarce Firefox i ERR_CERT_AUTHORITY_INVALID w przeglądarce Chrome

17

Mój istniejący certyfikat HTTPS wkrótce wygaśnie, więc kupiłem nowy. Mam jednak trudności z prawidłową instalacją. Mam certyfikat Wildcard od StartSSL, *.deadsea.ostermiller.orgktóry próbuję zainstalować na moim serwerze Apache. Moja konfiguracja Apache dla SSL to:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Który pochodzi z instrukcji, które otrzymałem: https://www.startssl.com/Support?v=21 Następnie ponownie uruchamiam apache, który uruchamia się ponownie poprawnie. Próbuję następnie uzyskać dostęp do https://test.deadsea.ostermiller.org/ (który powinien dać błąd 404) w różnych przeglądarkach, a niektóre działają, a niektóre nie.


Curl ma się dobrze:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs ocenia to A- i mówi, że jest „zaufany”:


Przeglądarka Microsoft Edge robi dobrze:


Chrome wyświetla błąd NET :: ERR_CERT_AUTHORITY_INVALID:


Firefox wyświetla błąd SEC_ERROR_REVOKED_CERTIFICATE:


Safari informuje, że istnieje nieprawidłowy wystawca:


Co dzieje się źle i dlaczego między przeglądarkami jest tak wiele sporów?

Stephen Ostermiller
źródło
1
Czy „nieważny wystawca” nie jest wskazówką? Ale po co płacić za SLL, skoro LetsEncrypt już jest w pobliżu?
Steve
6
Może to być wynikiem złego zachowania Startcom, które spowodowało, że duże przeglądarki nie ufały
Steffen Ullrich
1
@ Steve LetsEncrypt nie obsługuje domen wieloznacznych, więc nie będzie działać w tym przypadku. Nie oferują także certyfikatów OV ani EV, więc nie mogę uzyskać od nich bardzo dobrych certyfikatów.
Stephen Ostermiller
1
@SteffenUllrich Wow, nie wiedziałem o tym. Używam StartSSL od lat. Mam nadzieję, że nie będę musiał znaleźć nowego wystawcy certyfikatu w następnym tygodniu przed wygaśnięciem moich dotychczasowych certyfikatów.
Stephen Ostermiller
W zależności od liczby subdomen, które masz, możesz użyć Let's Encrypt. Obsługują do 100 sieci SAN na certyfikat. Za pomocą GetSSL możesz to zautomatyzować, jeśli będziesz regularnie dodawać lub usuwać poddomeny. Obsługujemy około 300 klientów i posiadamy tylko 3 certyfikaty.
user1771561

Odpowiedzi:

26

Mam dla ciebie złe wieści. Certyfikaty StartSSL niejuż zaufane przez Chrome, Firefox i wkrótce inne przeglądarki , zaczynając od nowo wydanych certyfikatów . StartSSL oczywiście tego nie powie i chętnie sprzedaje nowe certyfikaty, kontynuując ich wyjątkowo podejrzany wzór zachowania.

W tym momencie wszystko, co mogę polecić, to kontrola szkód poprzez zakup kolejnego certyfikatu typu wildcard (zakładając, że nie będziesz / nie możesz użyć Certbota?) Z czegoś takiego jak np . Cheapsslsecurity.com . Brak przynależności, tylko poprzedni klient, a oni byli tani i łatwy w użyciu.

Twój nowy certyfikat nie jest już dobry i musisz go wymienić.

Tom Brossman
źródło
5
Wierzę, że opcje Let's Encrypt i CertBot powinny być bardziej widoczne w twojej odpowiedzi, z widocznymi linkami. Przełączanie z jednego urzędu certyfikacji na inny jest idealną szansą na przejście do Let's Encrypt i załatwianie problemów z certyfikatami raz na zawsze. Nie musisz już rok po roku prosić o nowy certyfikat. Będzie odnawiane automatycznie przez cały okres użytkowania serwera.
vog
8

StartSSL potwierdził, że jest to spowodowane częściowo odwołanym certyfikatem głównym StartCom. Pracują nad tym, aby przeglądarki uzyskały pełne zaufanie do certyfikatu głównego. Wygląda na to, że koniec lutego byłby najwcześniejszym terminem, więc nie zdążę pomóc moim certyfikatom, które wygasną za dwa tygodnie. :-(

Do: Stephen Ostermiller,

Ta wiadomość e-mail została utworzona przez personel administracyjny StartCom:

Witaj,

Nie ma to wpływu na wszystkie certyfikaty wydane przed 21.10.2016. Certyfikaty wydane po 21.10.2016 są nieufne w przeglądarkach Chrome, Firefox i Safari.

Oficjalny dokument dotyczący nieufności> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Ciężko pracujemy nad planem naprawczym ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) i robimy wszystko, aby jak najszybciej odzyskać zaufanie. Jeden z kroków już w pełni wykonanych - https://startssl.com/NewsDetails?date=20160919

Występują pewne opóźnienia związane z rozwiązaniem tymczasowym, ale będziemy mieli więcej informacji dopiero w lutym.

Przepraszamy za niedogodności.

Proszę nie odpowiadać na ten email. To jest niemonitorowany adres e-mail, na który nie można odpowiedzieć ani przeczytać odpowiedzi na tego e-maila. Jeśli masz jakieś pytania lub komentarze, kliknij tutaj (( https://startssl.com/reply ), aby wysłać do nas swoje pytanie, dzięki.

Z pozdrowieniami
StartCom ™ Urząd certyfikacji

Qualys SSL Labs

Jeśli chodzi o to, dlaczego Qualys SSL Labs nie zgłasza błędu, na forach znalazłem wątek, który mówi, że będą musieli na stałe napisać konkretny przypadek, ponieważ odwołanie nie zostało wykonane w normalny sposób. Jeszcze tego nie zrobili, ale mają otwarty błąd, aby to zrobić .

Urząd certyfikacji nie został zwyczajnie odwołany, więc nie ma możliwości poznania tylko OCSP lub listy CRL dla unieważnionych certyfikatów. Według Mozilli, Google i Apple StartCom naruszył kilka zasad, ale ponieważ StartCom jest jednym z wiodących urzędów certyfikacji, zbyt duże działanie byłoby po prostu unieważnić certyfikat CA, miliony stron internetowych przestałyby działać. Zdecydowali, że przestaną ufać nowym certyfikatom wydanym przez ten urząd certyfikacji, zaczynając od nowej wersji przeglądarki. Zostało to ogłoszone dwa miesiące temu, więc administratorzy sieci mieli czas na uzyskanie nowego certyfikatu od innego urzędu certyfikacji.

To, by nie ufać zmianie CA, jest zakodowane na stałe w NOWYCH wersjach przeglądarek, więc aby uzyskać przydatne wyniki na ssllabs.com, reguły te powinny być również zakodowane na stałe w teście. Nie jest to najładniejsze rozwiązanie, ale wygląda na jedyne.

Firefox

Blog Mozilla Security: nieufność wobec nowych certyfikatów WoSign i StartCom

Chrom

Google i Chrome nie ufają certyfikatom WoSign i StartCom

Chrome stopniowo usuwa zaufanie do tych certyfikatów w kolejnych wydaniach przeglądarki .

  • Chrome 56 nie ufa wszystkim certyfikatom wydanym po 21 października 2016 r.
  • Chrome 57 nie ufa również wszystkim starym certyfikatom, chyba że witryna znajduje się w milionowym serwisie Alexa.
  • Chrome 58 nie ufa również wszystkim starym certyfikatom, chyba że witryna znajduje się w pierwszej 500 000 Alexa.
  • Chrome 61 nie ufa WSZYSTKIM certyfikatom podpisanym przez StartSSL i WoSign

Safari

Apple i Safari Blocking Trust dla WoSign CA Darmowy certyfikat SSL G2

Koniec StartCom

Otrzymałem następujący e-mail od StartCom o zamknięciu:

Drogi Kliencie,

Jak zapewne wiesz, twórcy przeglądarek nie ufali StartComowi około rok temu, a zatem wszystkie certyfikaty jednostek końcowych nowo wydane przez StartCom nie są domyślnie zaufane w przeglądarkach.

Przeglądarki narzuciły pewne warunki, aby certyfikaty zostały ponownie zaakceptowane. Chociaż StartCom uważa, że ​​warunki te zostały spełnione, wydaje się, że nadal napotykają pewne trudności. Biorąc pod uwagę tę sytuację, właściciele StartCom postanowili rozwiązać firmę jako Urząd Certyfikacji, jak wspomniano na stronie internetowej Startcom.

StartCom przestanie wydawać nowe certyfikaty od 1 stycznia 2018 r. I będzie świadczył wyłącznie usługi CRL i OCSP przez kolejne dwa lata.

StartCom pragnie podziękować za wsparcie w tym trudnym czasie.

StartCom kontaktuje się z niektórymi urzędami certyfikacji w celu zapewnienia wymaganych certyfikatów. Jeśli nie chcesz, abyśmy przedstawili Ci alternatywę, skontaktuj się z nami pod adresem [email protected]

Daj nam znać, jeśli potrzebujesz dalszej pomocy w procesie przejścia. Przepraszamy za wszelkie związane z tym niedogodności.

Z poważaniem, StartCom Certification Authority

Stephen Ostermiller
źródło
1
Prawdopodobnie powinna to być zaakceptowana odpowiedź, ponieważ zawiera informacje bezpośrednio ze źródła problemu. Nie musisz wybierać mojego, ponieważ został opublikowany wcześniej.
Tom Brossman,
1
Po prostu dodaję informacje do twojej i tak doskonałej odpowiedzi. :-) Chciałbym również podziękować @SteffenUllrich, który opublikował komentarz wskazujący mnie we właściwym kierunku, zanim pojawią się jakiekolwiek odpowiedzi. Początkowo myślałem, że źle zainstalowałem certyfikat.
Stephen Ostermiller