Сертификат StartSSL дает SEC_ERROR_REVOKED_CERTIFICATE в Firefox и ERR_CERT_AUTHORITY_INVALID в Chrome

17

Срок действия моего действующего сертификата HTTPS скоро истекает, поэтому я купил новый. Мне очень тяжело установить его правильно, хотя. У меня есть подстановочный сертификат от StartSSL, *.deadsea.ostermiller.orgкоторый я пытаюсь установить на свой веб-сервер Apache. Моя конфигурация Apache для SSL:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Который из инструкций, которые я получил от: https://www.startssl.com/Support?v=21 Я затем перезапустить Apache, который перезапускает нормально. Затем я пытаюсь получить доступ к https://test.deadsea.ostermiller.org/ (который должен выдавать ошибку 404) в различных браузерах, и некоторые из них работают, а некоторые нет.


Керл отлично справляется:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs оценивает его как «А» и говорит, что оно «доверенное»:


Браузер Microsoft Edge делает правильные вещи:


Chrome выдает ошибку NET :: ERR_CERT_AUTHORITY_INVALID:


Firefox выдает ошибку SEC_ERROR_REVOKED_CERTIFICATE:


Safari говорит, что существует недействительный эмитент:


Что идет не так и почему между браузерами так много разногласий?

Стивен Остермиллер
источник
1
Разве «недействительный эмитент» не является ключом? Но зачем платить больше за SLL теперь, когда LetsEncrypt рядом?
Steve
6
Это может быть результатом плохого поведения Startcom, из-за которого основные браузеры не доверяют ему новые сертификаты: blog.mozilla.org/security/2016/10/24/…
Steffen Ullrich
1
@Steve LetsEncrypt не поддерживает домены с подстановочными знаками, поэтому он не будет работать в этом случае. Они также не предлагают сертификаты OV или EV, поэтому я не могу получить от них очень хорошие сертификаты.
Стивен Остермиллер
1
@SteffenUllrich Wow, я не знал об этом. Я использую StartSSL уже много лет. Я надеюсь, что мне не придется искать нового эмитента сертификатов на следующей неделе, пока не истек срок действия моих существующих сертификатов.
Стивен Остермиллер
В зависимости от количества поддоменов, которые вы имеете, вы можете использовать Let's Encrypt. Они поддерживают до 100 SAN на сертификат. Используя GetSSL, вы можете автоматизировать это, если вам регулярно приходится добавлять или удалять субдомены. Мы обслуживаем около 300 клиентов и имеем только 3 сертификата.
user1771561

Ответы:

26

У меня для вас плохие новости. Сертификатам StartSSL больше не доверяют Chrome, Firefox и вскоре другие браузеры , начиная сначала с недавно выпущенных сертификатов . StartSSL, конечно же, не скажет вам этого и с радостью продаст вам новые сертификаты, продолжая их крайне сомнительную модель поведения.

На данный момент все, что я могу порекомендовать, - это контроль ущерба, купив еще один групповой сертификат (при условии, что вы не будете / не можете использовать Certbot?) Где-то вроде cheapsslsecurity.com . Нет связи, просто предыдущий клиент, и они были дешевы и просты в использовании.

Ваш новый сертификат больше не годится, и вы должны заменить его.

Том Броссман
источник
5
Я считаю, что варианты Let's Encrypt и CertBot должны быть более заметны в вашем ответе с заметными ссылками. Переключение с одного ЦС на другой - это идеальная возможность перейти на Let's Encrypt, и раз и навсегда покончить с проблемами с сертификатами. Вам больше не нужно просить год за годом новый сертификат. Он будет обновляться автоматически в течение всего срока службы вашего веб-сервера.
ВОГ
8

StartSSL подтвердил, что это из-за частично отозванного корневого сертификата StartCom. Они работают над тем, чтобы браузер снова полностью доверял своему корневому сертификату. Похоже, конец февраля будет самым ранним сроком, поэтому не вовремя, чтобы помочь моим сертификатам, срок действия которых истекает через две недели. :-(

Кому: Стивену Остермиллеру,

Это сообщение электронной почты было создано административным персоналом StartCom:

Здравствуйте,

Все сертификаты, выданные до 21.10.2016, не затрагиваются. Сертификаты, выданные после 21.10.2016, не доверяют браузерам Chrome, Firefox и Safari.

Официальный документ о недоверии> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Мы усердно работаем над планом исправления ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) и делаем все возможное, чтобы восстановить доверие как можно скорее. Один из шагов уже полностью сделан - https://startssl.com/NewsDetails?date=20160919

У нас есть некоторые задержки с временным решением, но у нас будет больше информации только позже в феврале.

Приносим свои извинения за доставленные неудобства.

Пожалуйста, не отвечайте на это письмо. Это неконтролируемый адрес электронной почты, и на ответы на это письмо невозможно ответить или прочитать. Если у вас есть какие-либо вопросы или комментарии, просто нажмите здесь (( https://startssl.com/reply ), чтобы отправить нам вопрос, спасибо.

С наилучшими пожеланиями
Центр сертификации StartCom ™

Qualys SSL Labs

Что касается того, почему Qualys SSL Labs не сообщает об ошибке, я нашел на их форумах ветку, в которой говорится, что им придется жестко кодировать конкретный случай для него, потому что отзыв не был обработан обычным способом. Они еще этого не сделали, но у них есть ошибка, чтобы сделать это .

CA не был отозван обычным образом, поэтому невозможно узнать, просто просматривая OCSP или CRL для отозванных сертификатов. По словам Mozilla, StartCom нарушил несколько правил, но Google и Apple нарушили несколько правил, но поскольку StartCom является одним из ведущих центров сертификации, было бы слишком большим действием просто отозвать сертификат CA, миллионы веб-страниц перестали бы работать. Они решили, что перестанут доверять новым выданным сертификатам этим CA, начиная с новой версии браузера. Это было объявлено, как два месяца назад, поэтому веб-администраторы успели получить новый сертификат от другого центра сертификации.

Не доверять изменению CA жестко запрограммировано в НОВЫХ версиях браузеров, поэтому для получения полезных результатов на ssllabs.com эти правила также должны быть жестко запрограммированы в тесте. Не самое симпатичное решение, но выглядит только одно.

Fire Fox

Блог безопасности Mozilla: недоверие к новым сертификатам WoSign и StartCom

Хром

Google и Chrome не доверяют сертификатам WoSign и StartCom

Chrome постепенно удаляет эти сертификаты с последующими выпусками браузера .

  • Chrome 56 не доверяет всем сертификатам, выданным после 21 октября 2016 года.
  • Chrome 57 также не доверяет всем старым сертификатам, если только сайт не входит в число лучших сайтов Alexa.
  • Chrome 58 также не доверяет всем старым сертификатам, если только сайт не входит в топ 500 000 Alexa.
  • Chrome 61 не доверяет ВСЕМ сертификатам, подписанным StartSSL и WoSign

Сафари

Apple и Safari блокируют доверие для бесплатного сертификата WoSign CA SSL G2

Конец StartCom

Я получил следующее письмо от StartCom об их закрытии:

Уважаемый клиент,

Как вы наверняка знаете, производители браузеров не доверяли StartCom около года назад, и поэтому все сертификаты конечных объектов, недавно выпущенные StartCom, по умолчанию не пользуются доверием в браузерах.

Браузеры установили некоторые условия для повторного принятия сертификатов. В то время как StartCom считает, что эти условия были выполнены, похоже, еще есть определенные трудности. Учитывая эту ситуацию, владельцы StartCom решили прекратить деятельность компании в качестве центра сертификации, как указано на веб-сайте Startcom.

StartCom прекратит выдачу новых сертификатов с 1 января 2018 года и будет предоставлять только услуги CRL и OCSP в течение еще двух лет.

StartCom хотел бы поблагодарить вас за вашу поддержку в это трудное время.

StartCom связывается с некоторыми другими центрами сертификации, чтобы предоставить вам необходимые сертификаты. Если вы не хотите, чтобы мы предоставили вам альтернативу, пожалуйста, свяжитесь с нами по адресу certmaster@startcomca.com

Пожалуйста, дайте нам знать, если вам нужна дополнительная помощь в процессе перехода. Мы приносим свои извинения за возможные неудобства.

С уважением, Центр сертификации StartCom

Стивен Остермиллер
источник
1
Вероятно, это должен быть принятый ответ, так как он содержит информацию непосредственно из источника проблемы. Не нужно выбирать мой, потому что он был опубликован ранее.
Том Броссман
1
Я просто добавляю информацию в ваш и без того отличный ответ. :-) Я также хотел бы поблагодарить @SteffenUllrich, который разместил комментарий, указывающий мне в правильном направлении, прежде чем были какие-либо ответы. Сначала я думал, что неправильно установил сертификат.
Стивен Остермиллер