Срок действия моего действующего сертификата HTTPS скоро истекает, поэтому я купил новый. Мне очень тяжело установить его правильно, хотя. У меня есть подстановочный сертификат от StartSSL, *.deadsea.ostermiller.org
который я пытаюсь установить на свой веб-сервер Apache. Моя конфигурация Apache для SSL:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt
Который из инструкций, которые я получил от: https://www.startssl.com/Support?v=21 Я затем перезапустить Apache, который перезапускает нормально. Затем я пытаюсь получить доступ к https://test.deadsea.ostermiller.org/ (который должен выдавать ошибку 404) в различных браузерах, и некоторые из них работают, а некоторые нет.
Керл отлично справляется:
$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8
Qualys SSL Labs оценивает его как «А» и говорит, что оно «доверенное»:
Браузер Microsoft Edge делает правильные вещи:
Chrome выдает ошибку NET :: ERR_CERT_AUTHORITY_INVALID:
Firefox выдает ошибку SEC_ERROR_REVOKED_CERTIFICATE:
Safari говорит, что существует недействительный эмитент:
Что идет не так и почему между браузерами так много разногласий?
источник
Ответы:
У меня для вас плохие новости. Сертификатам StartSSL больше не доверяют Chrome, Firefox и вскоре другие браузеры , начиная сначала с недавно выпущенных сертификатов . StartSSL, конечно же, не скажет вам этого и с радостью продаст вам новые сертификаты, продолжая их крайне сомнительную модель поведения.
На данный момент все, что я могу порекомендовать, - это контроль ущерба, купив еще один групповой сертификат (при условии, что вы не будете / не можете использовать Certbot?) Где-то вроде cheapsslsecurity.com . Нет связи, просто предыдущий клиент, и они были дешевы и просты в использовании.
Ваш новый сертификат больше не годится, и вы должны заменить его.
источник
StartSSL подтвердил, что это из-за частично отозванного корневого сертификата StartCom. Они работают над тем, чтобы браузер снова полностью доверял своему корневому сертификату. Похоже, конец февраля будет самым ранним сроком, поэтому не вовремя, чтобы помочь моим сертификатам, срок действия которых истекает через две недели. :-(
Qualys SSL Labs
Что касается того, почему Qualys SSL Labs не сообщает об ошибке, я нашел на их форумах ветку, в которой говорится, что им придется жестко кодировать конкретный случай для него, потому что отзыв не был обработан обычным способом. Они еще этого не сделали, но у них есть ошибка, чтобы сделать это .
Fire Fox
Блог безопасности Mozilla: недоверие к новым сертификатам WoSign и StartCom
Хром
Google и Chrome не доверяют сертификатам WoSign и StartCom
Chrome постепенно удаляет эти сертификаты с последующими выпусками браузера .
Сафари
Apple и Safari блокируют доверие для бесплатного сертификата WoSign CA SSL G2
Конец StartCom
Я получил следующее письмо от StartCom об их закрытии:
источник