Сертификат StartSSL дает SEC_ERROR_REVOKED_CERTIFICATE в Firefox и ERR_CERT_AUTHORITY_INVALID в Chrome

Срок действия моего действующего сертификата HTTPS скоро истекает, поэтому я купил новый. Мне очень тяжело установить его правильно, хотя. У меня есть подстановочный сертификат от StartSSL, *.deadsea.ostermiller.orgкоторый я пытаюсь установить на свой веб-сервер Apache. Моя конфигурация Apache для SSL:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Который из инструкций, которые я получил от: https://www.startssl.com/Support?v=21 Я затем перезапустить Apache, который перезапускает нормально. Затем я пытаюсь получить доступ к https://test.deadsea.ostermiller.org/ (который должен выдавать ошибку 404) в различных браузерах, и некоторые из них работают, а некоторые нет.

Керл отлично справляется:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs оценивает его как «А» и говорит, что оно «доверенное»:

Браузер Microsoft Edge делает правильные вещи:

Chrome выдает ошибку NET :: ERR_CERT_AUTHORITY_INVALID:

Firefox выдает ошибку SEC_ERROR_REVOKED_CERTIFICATE:

Safari говорит, что существует недействительный эмитент:

Что идет не так и почему между браузерами так много разногласий?

У меня для вас плохие новости. Сертификатам StartSSL больше не доверяют Chrome, Firefox и вскоре другие браузеры , начиная сначала с недавно выпущенных сертификатов . StartSSL, конечно же, не скажет вам этого и с радостью продаст вам новые сертификаты, продолжая их крайне сомнительную модель поведения.

На данный момент все, что я могу порекомендовать, - это контроль ущерба, купив еще один групповой сертификат (при условии, что вы не будете / не можете использовать Certbot?) Где-то вроде cheapsslsecurity.com . Нет связи, просто предыдущий клиент, и они были дешевы и просты в использовании.

Ваш новый сертификат больше не годится, и вы должны заменить его.

StartSSL подтвердил, что это из-за частично отозванного корневого сертификата StartCom. Они работают над тем, чтобы браузер снова полностью доверял своему корневому сертификату. Похоже, конец февраля будет самым ранним сроком, поэтому не вовремя, чтобы помочь моим сертификатам, срок действия которых истекает через две недели. :-(

Кому: Стивену Остермиллеру,

Это сообщение электронной почты было создано административным персоналом StartCom:

Здравствуйте,

Все сертификаты, выданные до 21.10.2016, не затрагиваются. Сертификаты, выданные после 21.10.2016, не доверяют браузерам Chrome, Firefox и Safari.

Официальный документ о недоверии> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Мы усердно работаем над планом исправления ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) и делаем все возможное, чтобы восстановить доверие как можно скорее. Один из шагов уже полностью сделан - https://startssl.com/NewsDetails?date=20160919

У нас есть некоторые задержки с временным решением, но у нас будет больше информации только позже в феврале.

Приносим свои извинения за доставленные неудобства.

Пожалуйста, не отвечайте на это письмо. Это неконтролируемый адрес электронной почты, и на ответы на это письмо невозможно ответить или прочитать. Если у вас есть какие-либо вопросы или комментарии, просто нажмите здесь (( https://startssl.com/reply ), чтобы отправить нам вопрос, спасибо.

С наилучшими пожеланиями
Центр сертификации StartCom ™

Qualys SSL Labs

Что касается того, почему Qualys SSL Labs не сообщает об ошибке, я нашел на их форумах ветку, в которой говорится, что им придется жестко кодировать конкретный случай для него, потому что отзыв не был обработан обычным способом. Они еще этого не сделали, но у них есть ошибка, чтобы сделать это .

CA не был отозван обычным образом, поэтому невозможно узнать, просто просматривая OCSP или CRL для отозванных сертификатов. По словам Mozilla, StartCom нарушил несколько правил, но Google и Apple нарушили несколько правил, но поскольку StartCom является одним из ведущих центров сертификации, было бы слишком большим действием просто отозвать сертификат CA, миллионы веб-страниц перестали бы работать. Они решили, что перестанут доверять новым выданным сертификатам этим CA, начиная с новой версии браузера. Это было объявлено, как два месяца назад, поэтому веб-администраторы успели получить новый сертификат от другого центра сертификации.

Не доверять изменению CA жестко запрограммировано в НОВЫХ версиях браузеров, поэтому для получения полезных результатов на ssllabs.com эти правила также должны быть жестко запрограммированы в тесте. Не самое симпатичное решение, но выглядит только одно.

Fire Fox

Блог безопасности Mozilla: недоверие к новым сертификатам WoSign и StartCom

Хром

Google и Chrome не доверяют сертификатам WoSign и StartCom

Chrome постепенно удаляет эти сертификаты с последующими выпусками браузера .

• Chrome 56 не доверяет всем сертификатам, выданным после 21 октября 2016 года.
• Chrome 57 также не доверяет всем старым сертификатам, если только сайт не входит в число лучших сайтов Alexa.
• Chrome 58 также не доверяет всем старым сертификатам, если только сайт не входит в топ 500 000 Alexa.
• Chrome 61 не доверяет ВСЕМ сертификатам, подписанным StartSSL и WoSign

Сафари

Apple и Safari блокируют доверие для бесплатного сертификата WoSign CA SSL G2

Конец StartCom

Я получил следующее письмо от StartCom об их закрытии:

Уважаемый клиент,

Как вы наверняка знаете, производители браузеров не доверяли StartCom около года назад, и поэтому все сертификаты конечных объектов, недавно выпущенные StartCom, по умолчанию не пользуются доверием в браузерах.

Браузеры установили некоторые условия для повторного принятия сертификатов. В то время как StartCom считает, что эти условия были выполнены, похоже, еще есть определенные трудности. Учитывая эту ситуацию, владельцы StartCom решили прекратить деятельность компании в качестве центра сертификации, как указано на веб-сайте Startcom.

StartCom прекратит выдачу новых сертификатов с 1 января 2018 года и будет предоставлять только услуги CRL и OCSP в течение еще двух лет.

StartCom хотел бы поблагодарить вас за вашу поддержку в это трудное время.

StartCom связывается с некоторыми другими центрами сертификации, чтобы предоставить вам необходимые сертификаты. Если вы не хотите, чтобы мы предоставили вам альтернативу, пожалуйста, свяжитесь с нами по адресу certmaster@startcomca.com

Пожалуйста, дайте нам знать, если вам нужна дополнительная помощь в процессе перехода. Мы приносим свои извинения за возможные неудобства.

С уважением, Центр сертификации StartCom