StartSSL证书在Firefox中提供SEC_ERROR_REVOKED_CERTIFICATE，在Chrome中提供ERR_CERT_AUTHORITY_INVALID

我现有的HTTPS证书即将过期，因此我购买了一个新证书。我很难正确安装它。我有一个来自StartSSL的通配符证书*.deadsea.ostermiller.org，我试图在我的Apache Web服务器上安装它。我对SSL的Apache配置是：

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

这是从我从https://www.startssl.com/Support?v=21获得的说明中获得的， 然后我重新启动了apache，它可以正常重启。然后，我尝试在各种浏览器中访问https://test.deadsea.ostermiller.org/（应该给出404错误），有些正在工作，有些没有。

卷毛效果很好：

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs将其评为A-级，并说它是“受信任的”：

Microsoft Edge浏览器做正确的事情：

Chrome给出了NET :: ERR_CERT_AUTHORITY_INVALID错误：

Firefox给出了SEC_ERROR_REVOKED_CERTIFICATE错误：

Safari表示存在无效的发行者：

出了什么问题？为什么浏览器之间会有如此大的分歧？

我有个坏消息要给你。Chrome，Firefox和其他浏览器不再信任 StartSSL的证书，首先是新颁发的证书。StartSSL当然不会告诉您这一点，并且会很乐意向您出售新证书，并继续其极其可疑的行为方式。

在这一点上，我只建议通过从cheapsslsecurity.com之类的地方购买另一个通配符证书（假设您不会/不能使用Certbot？）来控制损害。没有从属关系，只有以前的客户，而且价格便宜且易于使用。

您的新证书不再有效，必须替换它。

StartSSL确认这是由于部分撤消了StartCom根证书。他们正在努力使根证书再次得到浏览器的完全信任。听起来好像最早的时间是2月底，所以没有及时帮助我的证书在两周后到期。:-(

致：史蒂芬·奥斯特米勒（Stephen Ostermiller），

此电子邮件是由StartCom的管理人员创建的：

你好，

2016年10月21日之前颁发的所有证书均不受影响。Chrome，Firefox和Safari浏览器不信任2016年10月21日之后颁发的证书。

关于不信任的正式文件> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

我们正在努力制定补救计划（https://bugzilla.mozilla.org/show_bug.cgi?id=1311832），并且我们正在尽一切努力尽快恢复信任。已经完全完成的步骤之一-https: //startssl.com/NewsDetails?date=20160919

我们在采用临时解决方案方面有些延误，但仅在2月下旬才会有更多信息。

不便之处，敬请原谅。

请不要回复这封邮件。这是一个不受监控的电子邮件地址，对此电子邮件的回复无法回复或阅读。如果您有任何问题或意见，请单击此处（（https://startssl.com/reply）将您的问题发送给我们，谢谢。

最好的问候
StartCom™证书颁发机构

Qualys SSL实验室

关于Qualys SSL Labs为什么不报告该错误的原因，我在他们的论坛中找到一个线程，该线程说他们必须对此特定情况进行硬编码，因为吊销未按正常方式处理。他们还没有这样做，但是他们有一个漏洞可以解决。

CA并非被普通吊销，因此没有办法仅查看OCSP或CRL中的吊销证书。根据Mozilla，Google和Apple的说法，StartCom违反了几项规则，但是由于StartCom是领先的证书颁发机构之一，因此仅撤销CA证书将是一个太大的动作，数百万个网页将无法正常工作。他们决定从新版本的浏览器开始，不再通过此CA信任新颁发的证书。这是两个月前宣布的，因此Web管理员有时间从其他CA获取新证书。

在新版本的浏览器中，这不信任CA的更改是硬编码的，因此，为了在ssllabs.com上获得一些有用的结果，在测试中也应对该规则进行硬编码。不是最漂亮的解决方案，但看起来是唯一的解决方案。

火狐浏览器

Mozilla安全博客：不信任新的WoSign和StartCom证书

铬

Google和Chrome不信任WoSign和StartCom证书

Chrome浏览器将逐步取消对这些证书与后续浏览器版本的信任。

• Chrome 56不信任2016年10月21日之后颁发的所有证书。
• Chrome 57还不信任所有旧证书，除非该站点位于Alexa排名前100万的站点中。
• Chrome 58还不信任所有旧证书，除非该站点位于Alexa排名前500,000的网站。
• Chrome 61 不信任由StartSSL和WoSign签名的所有证书

苹果浏览器

苹果和Safari对WoSign CA免费SSL证书G2的信任

StartCom的终结

我收到了来自StartCom的以下有关它们关闭的电子邮件：

尊敬的客户，

如您所知，浏览器制造商大约在一年前就不信任StartCom，因此默认情况下浏览器不信任StartCom新发行的所有最终实体证书。

浏览器强加了一些条件，以便重新接受证书。虽然StartCom相信已经满足了这些条件，但似乎仍有一些困难。考虑到这种情况，StartCom的所有者已决定终止该公司，成为Startcom网站中提到的证书颁发机构。

StartCom将从2018年1月1日开始停止颁发新证书，并将仅提供CRL和OCSP服务两年。

StartCom感谢您在此困难时期的支持。

StartCom正在与其他一些CA联系，以向您提供所需的证书。如果您不希望我们为您提供替代方案，请通过certmaster@startcomca.com与我们联系。

如果您在过渡过程中需要其他帮助，请告诉我们。对于由此带来的任何不便，我们深表歉意。

最好的问候，StartCom认证中心