StartSSL证书在Firefox中提供SEC_ERROR_REVOKED_CERTIFICATE,在Chrome中提供ERR_CERT_AUTHORITY_INVALID


17

我现有的HTTPS证书即将过期,因此我购买了一个新证书。我很难正确安装它。我有一个来自StartSSL的通配符证书*.deadsea.ostermiller.org,我试图在我的Apache Web服务器上安装它。我对SSL的Apache配置是:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

这是从我从https://www.startssl.com/Support?v=21获得的说明中获得的, 然后我重新启动了apache,它可以正常重启。然后,我尝试在各种浏览器中访问https://test.deadsea.ostermiller.org/(应该给出404错误),有些正在工作,有些没有。


卷毛效果很好:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs将其评为A-级,并说它是“受信任的”:


Microsoft Edge浏览器做正确的事情:


Chrome给出了NET :: ERR_CERT_AUTHORITY_INVALID错误:


Firefox给出了SEC_ERROR_REVOKED_CERTIFICATE错误:


Safari表示存在无效的发行者:


出了什么问题?为什么浏览器之间会有如此大的分歧?


1
“无效的发行者”不是一个线索吗?但是,既然LetsEncrypt已经存在,为什么现在还要为SLL付费呢?
Steve

6
这可能是Startcom的不良行为的结果造成主流浏览器不信任它新的证书:blog.mozilla.org/security/2016/10/24/...
斯特芬乌尔里希

1
@Steve LetsEncrypt不支持通配符域,因此在这种情况下将不起作用。他们也不提供OV或EV证书,因此我不能从他们那里获得很好的证书。
斯蒂芬·奥斯特米勒

1
@SteffenUllrich哇,我对此一无所知。我已经使用StartSSL多年了。我希望我现有证书过期之前的下一周不必找到新的证书发行者。
斯蒂芬·奥斯特米勒

根据您拥有的子域数量,可以使用“让我们加密”。每个证书最多支持100个SAN。如果需要定期添加或删除子域,则可以使用GetSSL自动执行此操作。我们为大约300个客户提供服务,并且只有3个证书。
user1771561 '17

Answers:


26

我有个坏消息要给你。Chrome,Firefox和其他浏览器不再信任 StartSSL的证书,首先是新颁发的证书。StartSSL当然不会告诉您这一点,并且会很乐意向您出售新证书,并继续其极其可疑的行为方式。

在这一点上,我只建议通过从cheapsslsecurity.com之类的地方购买另一个通配符证书(假设您不会/不能使用Certbot?)来控制损害。没有从属关系,只有以前的客户,而且价格便宜且易于使用。

您的新证书不再有效,必须替换它。


5
我认为,“ Let's Encrypt”和“ CertBot”的选项应在您的答案中更加明显,并带有明显的链接。从一个CA切换到另一个CA,这是切换到Let's Encrypt的理想机会,并且可以一劳永逸地完成证书颁发。您不再需要年复一年地要求新证书。只要您的网络服务器存在,它就会自动更新。
vog

8

StartSSL确认这是由于部分撤消了StartCom根证书。他们正在努力使根证书再次得到浏览器的完全信任。听起来好像最早的时间是2月底,所以没有及时帮助我的证书在两周后到期。:-(

致:史蒂芬·奥斯特米勒(Stephen Ostermiller),

此电子邮件是由StartCom的管理人员创建的:

你好,

2016年10月21日之前颁发的所有证书均不受影响。Chrome,Firefox和Safari浏览器不信任2016年10月21日之后颁发的证书。

关于不信任的正式文件> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

我们正在努力制定补救计划(https://bugzilla.mozilla.org/show_bug.cgi?id=1311832),并且我们正在尽一切努力尽快恢复信任。已经完全完成的步骤之一-https: //startssl.com/NewsDetails?date=20160919

我们在采用临时解决方案方面有些延误,但仅在2月下旬才会有更多信息。

不便之处,敬请原谅。

请不要回复这封邮件。这是一个不受监控的电子邮件地址,对此电子邮件的回复无法回复或阅读。如果您有任何问题或意见,请单击此处((https://startssl.com/reply)将您的问题发送给我们,谢谢。

最好的问候
StartCom™证书颁发机构

Qualys SSL实验室

关于Qualys SSL Labs为什么不报告该错误的原因,我在他们的论坛中找到一个线程,线程说他们必须对此特定情况进行硬编码,因为吊销未按正常方式处理。他们还没有这样做,但是他们有一个漏洞可以解决

CA并非被普通吊销,因此没有办法仅查看OCSP或CRL中的吊销证书。根据Mozilla,Google和Apple的说法,StartCom违反了几项规则,但是由于StartCom是领先的证书颁发机构之一,因此仅撤销CA证书将是一个太大的动作,数百万个网页将无法正常工作。他们决定从新版本的浏览器开始,不再通过此CA信任新颁发的证书。这是两个月前宣布的,因此Web管理员有时间从其他CA获取新证书。

在新版本的浏览器中,这不信任CA的更改是硬编码的,因此,为了在ssllabs.com上获得一些有用的结果,在测试中也应对该规则进行硬编码。不是最漂亮的解决方案,但看起来是唯一的解决方案。

火狐浏览器

Mozilla安全博客:不信任新的WoSign和StartCom证书

Google和Chrome不信任WoSign和StartCom证书

Chrome浏览器将逐步取消对这些证书与后续浏览器版本的信任

  • Chrome 56不信任2016年10月21日之后颁发的所有证书。
  • Chrome 57还不信任所有旧证书,除非该站点位于Alexa排名前100万的站点中。
  • Chrome 58还不信任所有旧证书,除非该站点位于Alexa排名前500,000的网站。
  • Chrome 61 不信任由StartSSL和WoSign签名的所有证书

苹果浏览器

苹果和Safari对WoSign CA免费SSL证书G2的信任

StartCom的终结

我收到了来自StartCom的以下有关它们关闭的电子邮件:

尊敬的客户,

如您所知,浏览器制造商大约在一年前就不信任StartCom,因此默认情况下浏览器不信任StartCom新发行的所有最终实体证书。

浏览器强加了一些条件,以便重新接受证书。虽然StartCom相信已经满足了这些条件,但似乎仍有一些困难。考虑到这种情况,StartCom的所有者已决定终止该公司,成为Startcom网站中提到的证书颁发机构。

StartCom将从2018年1月1日开始停止颁发新证书,并将仅提供CRL和OCSP服务两年。

StartCom感谢您在此困难时期的支持。

StartCom正在与其他一些CA联系,以向您提供所需的证书。如果您不希望我们为您提供替代方案,请通过certmaster@startcomca.com与我们联系。

如果您在过渡过程中需要其他帮助,请告诉我们。对于由此带来的任何不便,我们深表歉意。

最好的问候,StartCom认证中心


1
这可能是可接受的答案,因为它包含直接来自问题源的信息。无需选择我的,因为它是较早发布的。
汤姆·布鲁斯曼'17

1
我只是将信息添加到您已经很好的答案中。:-)我还要感谢@SteffenUllrich,他发表了一条评论,指出我在没有任何答案之前就朝着正确的方向前进。我最初以为我安装了错误的证书。
斯蒂芬·奥斯特米勒
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.