Chứng chỉ StartSSL cung cấp cho SEC_ERROR_REVOKED_CERTIFICATE trong Firefox và ERR_CERT_AUTHORITY_INVALID trong Chrome

17

Chứng chỉ HTTPS hiện tại của tôi sắp hết hạn nên tôi đã mua một chứng chỉ mới. Tôi đang có một thời gian rất khó khăn để cài đặt nó đúng cách mặc dù. Tôi có chứng chỉ ký tự đại diện từ StartSSL vì *.deadsea.ostermiller.orgtôi đang cố gắng cài đặt trên máy chủ web Apache của mình. Cấu hình Apache cho SSL của tôi là:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Đó là từ các hướng dẫn tôi nhận được từ: https://www.startssl.com/Support?v=21 Sau đó tôi khởi động lại apache mà khởi động lại tốt. Sau đó, tôi đang cố gắng truy cập https://test.deadsea.ostermiller.org/ (sẽ báo lỗi 404) trong các trình duyệt khác nhau và một số trình duyệt đang hoạt động và một số thì không.

Curl không tốt:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs xếp hạng A- và nói rằng nó "đáng tin cậy":

Trình duyệt Microsoft Edge thực hiện đúng:

Chrome đưa ra lỗi NET :: ERR_CERT_AUTHORITY_INVALID:

Firefox đưa ra lỗi SEC_ERROR_REVOKED_CERTIFICATE:

Safari nói rằng có một công ty phát hành không hợp lệ:

Điều gì đang xảy ra và tại sao có quá nhiều bất đồng giữa các trình duyệt?

apache  https  apache2  security-certificate 
Stephen Ostermiller
nguồn
1
Không phải 'nhà phát hành không hợp lệ "là đầu mối sao? Nhưng tại sao lại trả tiền cho SLL nữa khi LetsEncrypt có mặt?
Steve
6
Đây có thể là kết quả của một hành vi xấu của Startcom khiến các trình duyệt chính không tin tưởng nó cho giấy chứng nhận mới: blog.mozilla.org/security/2016/10/24/...
Steffen Ullrich
1
@Steve LetsEncrypt không hỗ trợ tên miền ký tự đại diện, vì vậy nó sẽ không hoạt động trong trường hợp này. Họ cũng không cung cấp chứng chỉ OV hoặc EV, vì vậy tôi không thể nhận được chứng chỉ rất tốt từ họ.
Stephen Ostermiller
1
@SteffenUllrich Wow, tôi không biết về điều đó. Tôi đã sử dụng StartSSL trong nhiều năm nay. Tôi hy vọng tôi không phải tìm một công ty phát hành chứng chỉ mới trong tuần tới trước khi giấy chứng nhận hiện tại của tôi hết hạn.
Stephen Ostermiller
Tùy thuộc vào số lượng tên miền phụ bạn có, bạn có thể sử dụng Encrypt. Họ hỗ trợ lên tới 100 SAN mỗi chứng chỉ. Sử dụng GetSSL, bạn có thể tự động hóa việc này nếu bạn thường xuyên phải thêm hoặc xóa tên miền phụ. Chúng tôi phục vụ khoảng 300 khách hàng và chỉ có 3 chứng chỉ.
dùng1771561

Câu trả lời:

26

Tôi có một số tin xấu cho bạn. Chứng chỉ của StartSSL không còn được Chrome, Firefox và các trình duyệt khác sớm tin tưởng , bắt đầu bằng chứng chỉ mới được cấp trước tiên . StartSSL sẽ không nói với bạn điều này tất nhiên và sẽ vui vẻ bán cho bạn các loại ngũ cốc mới, tiếp tục mô hình hành vi cực kỳ mờ ám của họ.

Tại thời điểm này, tất cả những gì tôi có thể đề xuất là kiểm soát thiệt hại bằng cách mua một chứng chỉ ký tự đại diện khác (giả sử bạn sẽ không / không thể sử dụng Certbot?) Từ một nơi nào đó như cheapsslsecurity.com . Không liên kết, chỉ là một khách hàng trước đó và chúng rẻ và dễ sử dụng.

Chứng chỉ mới của bạn không còn tốt nữa và bạn phải thay thế nó.

Tom Brossman
nguồn
5
Tôi tin rằng các tùy chọn của Let Encrypt và CertBot sẽ hiển thị rõ hơn trong câu trả lời của bạn, với các liên kết nổi bật. Chuyển đổi từ CA này sang CA khác, cơ hội lý tưởng để chuyển sang Let Encrypt và được thực hiện với các vấn đề chứng chỉ một lần và mãi mãi. Bạn không còn phải yêu cầu năm này qua năm khác để có chứng chỉ mới. Nó sẽ được tự động gia hạn miễn là máy chủ web của bạn còn sống.
vog
8

StartSSL xác nhận rằng điều này là do chứng chỉ gốc StartCom bị thu hồi một phần. Họ đang làm việc để có được chứng chỉ gốc của họ được các trình duyệt tin cậy hoàn toàn một lần nữa. Có vẻ như cuối tháng Hai sẽ là khung thời gian sớm nhất, vì vậy không kịp để giúp các certs của tôi hết hạn sau hai tuần nữa. :-(

Kính gửi: Stephen Ostermiller,

Thông điệp thư điện tử này được tạo bởi Nhân viên quản trị của StartCom:

Xin chào,

Tất cả các chứng chỉ được cấp trước ngày 21.10.2016 không bị ảnh hưởng. Chứng chỉ được cấp sau ngày 21.10.2016 không tin cậy trong trình duyệt Chrome, Firefox và Safari.

Tài liệu chính thức về sự không tin tưởng> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certert/

Chúng tôi đang nỗ lực trong kế hoạch khắc phục ( https://ormszilla.mozilla.org/show_orms.cgi?id=1311832 ) và chúng tôi đang làm mọi thứ để lấy lại niềm tin càng sớm càng tốt. Một trong những bước đã được thực hiện đầy đủ - https://startssl.com/NewsDetails?date=20160919

Chúng tôi có một số chậm trễ với một giải pháp tạm thời nhưng sẽ có thêm thông tin chỉ sau đó vào tháng Hai.

Xin hãy tha lỗi cho chúng tôi vì sự bất tiện này.

Xin đừng trả lơi thư này. Đây là một địa chỉ email không được giám sát và trả lời email này có thể được trả lời hoặc đọc. Nếu bạn có bất kỳ câu hỏi hoặc nhận xét nào, chỉ cần nhấp vào đây (( https://startssl.com/reply ) để gửi câu hỏi của bạn cho chúng tôi, cảm ơn.

Trân trọng
Tổ chức chứng nhận StartCom ™

Phòng thí nghiệm SSL Qualys

Về lý do tại sao Qualys SSL Labs không báo cáo lỗi, tôi đã tìm thấy một chủ đề trong diễn đàn của họ nói rằng họ sẽ phải mã hóa một trường hợp cụ thể cho trường hợp đó vì việc thu hồi không được xử lý theo cách thông thường. Họ chưa làm như vậy, nhưng họ có một lỗi mở để làm như vậy .

CA không bị thu hồi thông thường, vì vậy không có cách nào để biết chỉ nhìn vào OCSP hoặc CRL cho các chứng chỉ bị thu hồi. StartCom đã theo Mozilla, Google và Apple đã vi phạm một số quy tắc, nhưng vì StartCom là một trong những cơ quan cấp chứng chỉ hàng đầu nên sẽ chỉ cần thu hồi chứng chỉ CA, hàng triệu trang web sẽ ngừng hoạt động. Họ quyết định rằng họ sẽ ngừng tin tưởng các chứng chỉ mới được cấp bởi CA này bắt đầu với phiên bản trình duyệt mới. Điều này đã được công bố như hai tháng trước, vì vậy các quản trị viên web đã có thời gian để nhận chứng chỉ mới từ các CA.

Điều này không tin tưởng vào sự thay đổi của CA được mã hóa cứng trong các phiên bản MỚI của trình duyệt, vì vậy để có một số kết quả hữu ích trên ssllabs.com, quy tắc này cũng cần được mã hóa cứng trong thử nghiệm. Không phải là giải pháp pretties nhất, nhưng nó trông là duy nhất.

Firefox

Blog bảo mật Mozilla: Chứng nhận WoSign và StartCom mới đáng tin cậy

Trình duyệt Chrome

Chứng chỉ WoSign và StartCom đáng tin cậy của Google và Chrome

Chrome đang dần dần không tin tưởng các chứng chỉ này với các bản phát hành trình duyệt tiếp theo .

  • Chrome 56 làm mất tập trung tất cả các chứng chỉ được cấp sau ngày 21 tháng 10 năm 2016.
  • Chrome 57 cũng làm mất tập trung tất cả các chứng chỉ cũ trừ khi trang web này nằm trong top một triệu trang web của Alexa.
  • Chrome 58 cũng làm mất tập trung tất cả các chứng chỉ cũ trừ khi trang web nằm trong top 500.000 của Alexa.
  • Chrome 61 làm mất tập trung TẤT CẢ các chứng chỉ được ký bởi StartSSL và WoSign

Safari

Apple và Safari Chặn niềm tin cho WoSign CA Chứng chỉ SSL miễn phí G2

Sự kết thúc của StartCom

Tôi đã nhận được email sau từ StartCom về việc họ đóng cửa:

Khách hàng thân mến,

Như bạn chắc chắn biết, các nhà sản xuất trình duyệt không tin tưởng StartCom khoảng một năm trước và do đó, tất cả các chứng chỉ thực thể cuối cùng do StartCom cấp mới không được tin cậy theo mặc định trong các trình duyệt.

Các trình duyệt áp đặt một số điều kiện để chứng chỉ được chấp nhận lại. Mặc dù StartCom tin rằng những điều kiện này đã được đáp ứng, nhưng có vẻ như vẫn còn những khó khăn nhất định sắp tới. Xem xét tình huống này, chủ sở hữu của StartCom đã quyết định chấm dứt công ty với tư cách là Tổ chức chứng nhận như được đề cập trong trang web của Startcom.

StartCom sẽ ngừng cấp chứng chỉ mới bắt đầu từ ngày 1 tháng 1 năm 2018 và sẽ chỉ cung cấp dịch vụ CRL và OCSP trong hai năm nữa.

StartCom xin cảm ơn sự hỗ trợ của bạn trong thời gian khó khăn này.

StartCom đang liên hệ với một số CA khác để cung cấp cho bạn các chứng chỉ cần thiết. Trong trường hợp bạn không muốn chúng tôi cung cấp cho bạn một giải pháp thay thế, vui lòng liên hệ với chúng tôi tại certmaster@startcomca.com

Vui lòng cho chúng tôi biết nếu bạn cần thêm trợ giúp trong quá trình chuyển đổi. Chúng tôi xin lỗi sâu sắc vì bất kỳ sự bất tiện nào mà điều này có thể gây ra.

Trân trọng, Cơ quan chứng nhận StartCom

Stephen Ostermiller
nguồn
1
Đây có lẽ nên là câu trả lời được chấp nhận vì nó chứa thông tin trực tiếp từ nguồn gốc của vấn đề. Không cần phải chọn của tôi vì nó đã được đăng trước đó.
Tom Brossman
1
Tôi chỉ thêm thông tin vào câu trả lời đã xuất sắc của bạn. :-) Tôi cũng muốn ghi nhận @SteffenUllrich, người đã đăng một bình luận chỉ cho tôi đi đúng hướng trước khi có bất kỳ câu trả lời nào. Ban đầu tôi nghĩ mình đã cài đặt chứng chỉ sai.
Stephen Ostermiller
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.