Сертифікат StartSSL дає SEC_ERROR_REVOKED_CERTIFICATE у Firefox та ERR_CERT_AUTHORITY_INVALID у Chrome

Мій існуючий сертифікат HTTPS скоро закінчується, тому я купив новий. Мені дуже важко встановити його належним чином. У мене є сертифікат підстановки від StartSSL, *.deadsea.ostermiller.orgякий я намагаюся встановити на своєму веб-сервері Apache. Моя конфігурація Apache для SSL:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Що з інструкцій, які я отримав: https://www.startssl.com/Support?v=21 Потім перезавантажую апаш, який перезавантажується штрафом. Я тоді намагаюся доступу https://test.deadsea.ostermiller.org/ (який повинен дати помилку 404) в різних браузерах і деякі з них працюють , а деякі ні.

Curl робить все добре:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs оцінює його A- і каже, що йому "довіряють":

Браузер Microsoft Edge робить все правильно:

Chrome видає помилку NET :: ERR_CERT_AUTHORITY_INVALID:

Firefox видає помилку SEC_ERROR_REVOKED_CERTIFICATE:

Сафарі каже, що існує недійсний емітент:

Що відбувається не так і чому між браузерами так багато розбіжностей?

У мене є погані новини для вас. Сертифікатам StartSSL більше не довіряють Chrome, Firefox та незабаром інші браузери , починаючи спочатку з нещодавно виданими сертифікатами . StartSSL не скаже вам цього, звичайно, і з радістю продасть вам нові сертифікати, продовжуючи свою надзвичайно тінисту поведінку.

На даний момент я можу порекомендувати лише контроль за пошкодженнями, придбавши інший сертифікат (маючи на увазі, що ви не зможете / не зможете використовувати Certbot?) Звідкись, як cheapsslsecurity.com . Ніякої приналежності, лише попередній клієнт, і вони були дешевими та зручними у користуванні.

Ваш новий сертифікат вже не є корисним, і його потрібно замінити.

StartSSL підтвердив, що це відбувається через частково відкликаний кореневий сертифікат StartCom. Вони працюють над тим, щоб браузери знову довіряли їх кореневому сертифікату. Здається, що кінець лютого був би найбільш раннім строком, тому не вчасно допомогти моїм сертам, які закінчуються через два тижні. :-(

Кому: Стівен Остерміллер,

Це повідомлення електронною поштою було створено персоналом адміністрації StartCom:

Здравствуйте,

Усі сертифікати, видані до 21.10.2016, не впливають. Сертифікати, видані після 21.10.2016, довіряють браузерам Chrome, Firefox та Safari.

Офіційний документ про недовіру> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificate/

Ми наполегливо працюємо над планом санації ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ), і робимо все для того, щоб якомога швидше повернути довіру. Один із вже виконаних кроків - https://startssl.com/NewsDetails?date=20160919

У нас є певні затримки з тимчасовим рішенням, але більше інформації отримаємо лише пізніше в лютому.

Прийміть наші вибачення за незручності.

Не відповідайте на цей електронний лист. Це електронна адреса, яка не є контрольованою, і на відповіді на цей електронний лист не можна відповісти чи прочитати. Якщо у вас виникли запитання чи коментарі, просто натисніть тут (( https://startssl.com/reply ), щоб надіслати нам своє запитання, дякую.

З найкращими побажаннями
Сертифікаційний орган StartCom ™

SSL-лабораторії Qualys

Щодо того, чому лабораторії Qualys SSL не повідомляють про помилку, я знайшов на їх форумах нитку, яка говорить про те, що їм доведеться жорстко кодувати конкретний випадок для цього, оскільки відкликання не оброблялося нормально. Вони ще цього не робили, але у них відкрита помилка .

CA не було звичайним відкликаним, тому немає ніякого способу дізнатися, як просто подивитися на OCSP або CRL для відкликаних сертифікатів. Як стверджують, StartCom, Mozilla, Google і Apple порушили кілька правил, але оскільки StartCom є одним з провідних органів сертифікації, це було б занадто великою дією просто відкликати сертифікат CA, мільйони веб-сторінок припинять свою роботу. Вони вирішили, що припинять довіряти цим виданим сертифікатам нові видані сертифікати, починаючи з нової версії браузера. Це було оголошено, як два місяці тому, тому веб-адміністратори встигли отримати новий сертифікат від інших ЦА.

Це не довіряти зміні CA важко закодовано в НОВИХ версіях браузерів, тому для того, щоб мати корисні результати на ssllabs.com, ці правила також повинні бути жорстко закодовані в тесті. Не найпрекрасніше рішення, але воно виглядає єдиним.

Firefox

Блог Mozilla Security: недовіра до нових сертифікатів WoSign та StartCom

Хром

Google і Chrome недовірливі сертифікати WoSign та StartCom

Chrome поступово видаляє недовіру цим сертифікатам з подальшими версіями браузера .

• Chrome 56 викликає недовіру до всіх сертифікатів, виданих після 21 жовтня 2016 року.
• Chrome 57 також не довіряє всім старим сертифікатам, якщо сайт не знаходиться в топ мільйона сайтів Alexa.
• Chrome 58 також недовіряє всім старим сертифікатам, якщо сайт не знаходиться в топ-500 Alexa.
• Chrome 61 не довіряє ВСІМ сертифікатам, підписаним StartSSL та WoSign

Сафарі

Apple і Safari блокують трест для безкоштовного сертифіката SSL G2 для WoSign CA

Кінець StartCom

Я отримав такий електронний лист від StartCom про їх вимкнення:

Дорогий клієнт,

Як ви напевно знаєте, виробники браузерів довіряли StartCom близько року тому, і тому всі сертифікати кінцевих юридичних осіб, щойно видані StartCom, за замовчуванням не вірять браузерам.

Браузери наклали деякі умови для повторного прийняття сертифікатів. Хоча StartCom вважає, що ці умови були виконані, однак, як видається, є ще певні труднощі. Враховуючи цю ситуацію, власники StartCom вирішили припинити компанію як орган з сертифікації, про який йдеться на веб-сайті Startcom.

StartCom припинить видавати нові сертифікати з 1 січня 2018 року та надаватиме лише послуги CRL та OCSP ще два роки.

StartCom хотів би подякувати вам за підтримку в цей важкий час.

StartCom зв’язується з деякими іншими органами управління, щоб надати вам необхідні сертифікати. Якщо ви не хочете, щоб ми запропонували вам альтернативу, будь ласка, зв'яжіться з нами за адресою certmaster@startcomca.com

Будь ласка, повідомте нас, якщо вам потрібна подальша допомога з перехідним процесом. Ми щиро вибачаємось за незручності, які це може спричинити.

З повагою, сертифікаційний орган StartCom