Das StartSSL-Zertifikat gibt SEC_ERROR_REVOKED_CERTIFICATE in Firefox und ERR_CERT_AUTHORITY_INVALID in Chrome

17

Mein vorhandenes HTTPS-Zertifikat läuft bald ab, daher habe ich ein neues gekauft. Es fällt mir allerdings sehr schwer, es richtig zu installieren. Ich habe ein Wildcard-Zertifikat von StartSSL *.deadsea.ostermiller.org, das ich auf meinem Apache-Webserver installieren möchte. Meine Apache-Konfiguration für SSL ist:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Aus den Anweisungen, die ich erhalten habe: https://www.startssl.com/Support?v=21 Dann starte ich Apache neu, was gut funktioniert. Ich versuche dann, in verschiedenen Browsern auf https://test.deadsea.ostermiller.org/ zuzugreifen (was einen 404-Fehler ergeben sollte). Einige funktionieren, andere nicht.


Locken tut gut:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs bewertet es mit A- und sagt, dass es "vertrauenswürdig" ist:


Microsoft Edge Browser macht das Richtige:


Chrome gibt einen NET :: ERR_CERT_AUTHORITY_INVALID-Fehler aus:


Firefox gibt einen SEC_ERROR_REVOKED_CERTIFICATE-Fehler aus:


Safari sagt, dass es einen ungültigen Aussteller gibt:


Was läuft falsch und warum gibt es so viele Meinungsverschiedenheiten zwischen den Browsern?

Stephen Ostermiller
quelle
1
Ist der "ungültige Emittent" nicht ein Hinweis? Aber warum für SLL zahlen jetzt, dass LetsEncrypt ist um?
Steve
6
Dies könnte auf ein schlechtes Verhalten von Startcom zurückzuführen sein, das große Browser dazu veranlasste, neuen Zertifikaten zu misstrauen: blog.mozilla.org/security/2016/10/24/…
Steffen Ullrich
1
@Steve LetsEncrypt unterstützt keine Platzhalterdomänen, daher funktioniert es in diesem Fall nicht. Sie bieten auch keine OV- oder EV-Zertifikate an, daher kann ich von ihnen keine sehr guten Zertifikate erhalten.
Stephen Ostermiller
1
@SteffenUllrich Wow, das wusste ich nicht. Ich benutze StartSSL seit Jahren. Ich hoffe, dass ich in der nächsten Woche keinen neuen Zertifizierer finden muss, bevor meine bestehenden Zertifikate verfallen.
Stephen Ostermiller
Abhängig von der Anzahl Ihrer Subdomains können Sie Let's Encrypt verwenden. Sie unterstützen bis zu 100 SANs pro Zertifikat. Mit GetSSL können Sie dies automatisieren, wenn Sie regelmäßig Unterdomänen hinzufügen oder entfernen müssen. Wir bedienen ca. 300 Kunden und haben nur 3 Zertifikate.
user1771561

Antworten:

26

Ich habe schlechte Nachrichten für dich. StartSSL-Zertifikate werden von Chrome, Firefox und bald auch anderen Browsern nicht mehr als vertrauenswürdig eingestuft , beginnend mit neu ausgestellten Zertifikaten . StartSSL wird Ihnen dies natürlich nicht mitteilen und wird Ihnen gerne neue Zertifikate verkaufen, die ihr äußerst zwielichtiges Verhaltensmuster fortsetzen.

An diesem Punkt kann ich nur die Schadensbegrenzung empfehlen, indem ich ein anderes Wildcard-Zertifikat kaufe (vorausgesetzt, Sie werden / können Certbot nicht verwenden?), Das von einem Ort wie cheapsslsecurity.com stammt . Keine Zugehörigkeit, nur ein vorheriger Kunde und sie waren billig und einfach zu bedienen.

Ihr neues Zertifikat ist nicht mehr gültig und Sie müssen es ersetzen.

Tom Brossman
quelle
5
Ich glaube, die Optionen von Let's Encrypt und CertBot sollten in Ihrer Antwort mit prominenten Links besser sichtbar sein. Wenn Sie von einer Zertifizierungsstelle zur anderen wechseln, ist dies die ideale Gelegenheit, zu Let's Encrypt zu wechseln und die Zertifikatsprobleme ein für alle Mal zu lösen. Sie müssen nicht mehr Jahr für Jahr nach einem neuen Zertifikat fragen. Es wird automatisch so lange erneuert, wie Ihr Webserver lebt.
Vog
8

StartSSL hat bestätigt, dass dies auf das teilweise widerrufene StartCom-Stammzertifikat zurückzuführen ist. Sie arbeiten daran, dass das Root-Zertifikat wieder von den Browsern als vertrauenswürdig eingestuft wird. Es hört sich so an, als wäre Ende Februar der früheste Zeitrahmen, also nicht rechtzeitig, um meinen Zertifikaten zu helfen, die in zwei Wochen verfallen. :-(

An: Stephen Ostermiller,

Diese E-Mail-Nachricht wurde vom Verwaltungspersonal von StartCom erstellt:

Hallo,

Alle vor dem 21.10.2016 ausgestellten Zertifikate sind nicht betroffen. Zertifikate, die nach dem 21.10.2016 ausgestellt wurden, sind in den Browsern Chrome, Firefox und Safari nicht mehr vertrauenswürdig.

Offizielles Dokument über Misstrauen> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Wir arbeiten intensiv an einem Plan zur Wiederherstellung des Vertrauens ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ). Einer der Schritte ist bereits vollständig ausgeführt - https://startssl.com/NewsDetails?date=20160919

Wir haben einige Verzögerungen mit einer Zwischenlösung, werden aber erst später im Februar mehr Informationen haben.

Wir entschuldigen uns für die Unannehmlichkeiten.

Bitte antworten Sie nicht auf diese Email. Dies ist eine nicht überwachte E-Mail-Adresse. Antworten auf diese E-Mail können nicht beantwortet oder gelesen werden. Wenn Sie Fragen oder Kommentare haben, klicken Sie einfach hier (( https://startssl.com/reply )), um Ihre Frage an uns zu senden, danke.

Mit freundlichen Grüßen
StartCom ™ -Zertifizierungsstelle

Qualys SSL Labs

Was den Grund angeht, warum Qualys SSL Labs den Fehler nicht meldet, habe ich in ihren Foren einen Thread gefunden , der besagt, dass sie einen bestimmten Fall hart codieren müssten, da der Widerruf nicht auf normale Weise behandelt wurde. Sie haben dies noch nicht getan, aber sie haben einen Fehler offen, um dies zu tun .

CA wurde nicht gewöhnlich widerrufen, sodass es keine Möglichkeit gibt, nur OCSP oder CRL nach widerrufenen Zertifikaten zu durchsuchen. StartCom hat laut Mozilla, Google und Apple gegen mehrere Regeln verstoßen, aber da StartCom eine der führenden Zertifizierungsstellen ist, wäre es einfach zu umfangreich, ein CA-Zertifikat zu widerrufen, und Millionen von Webseiten würden nicht mehr funktionieren. Sie haben beschlossen, dass sie den neu ausgestellten Zertifikaten dieser Zertifizierungsstelle ab der neuen Version des Browsers nicht mehr vertrauen. Dies wurde wie vor zwei Monaten angekündigt, sodass Webadministratoren Zeit hatten, ein neues Zertifikat von einer anderen Zertifizierungsstelle zu erhalten.

Diese nicht vertrauenswürdige Änderung der Zertifizierungsstelle ist in NEUEN Browserversionen fest programmiert. Um also auf ssllabs.com einige nützliche Ergebnisse zu erzielen, sollten diese Regeln auch im Test fest programmiert werden. Nicht die schönste Lösung, aber es sieht die einzige aus.

Feuerfuchs

Mozilla Security Blog: Misstrauen gegen neue WoSign- und StartCom-Zertifikate

Chrom

Google und Chrome misstrauen WoSign- und StartCom-Zertifikaten

Chrome entfernt nach und nach das Misstrauen gegenüber diesen Zertifikaten in späteren Browser-Versionen .

  • Chrome 56 misstraut allen Zertifikaten, die nach dem 21. Oktober 2016 ausgestellt wurden.
  • Chrome 57 misstraut auch allen alten Zertifikaten, es sei denn, die Site gehört zu den Alexa-Top-1-Million-Sites.
  • Chrome 58 misstraut auch allen alten Zertifikaten, es sei denn, die Website gehört zu den Top 500.000 von Alexa.
  • Chrome 61 misstraut ALLE Zertifikate unterzeichnet von StartSSL und WoSign

Safari

Apple und Safari blockieren Trust für WoSign CA Free SSL Certificate G2

Das Ende von StartCom

Ich habe die folgende E-Mail von StartCom über das Herunterfahren erhalten:

Sehr geehrter Kunde,

Wie Sie sicherlich wissen, misstrauten die Browserhersteller vor rund einem Jahr StartCom, weshalb in Browsern standardmäßig nicht alle von StartCom neu ausgestellten End-Entity-Zertifikate als vertrauenswürdig eingestuft werden.

Die Browser haben einige Bedingungen festgelegt, damit die Zertifikate wieder akzeptiert werden. Obwohl StartCom der Ansicht ist, dass diese Bedingungen erfüllt sind, bestehen nach wie vor gewisse Schwierigkeiten. In Anbetracht dieser Situation haben die Eigentümer von StartCom beschlossen, das Unternehmen als Zertifizierungsstelle zu kündigen, wie auf der Website von Startcom angegeben.

StartCom stellt die Ausstellung neuer Zertifikate ab dem 1. Januar 2018 ein und bietet für zwei weitere Jahre nur noch CRL- und OCSP-Dienste an.

StartCom bedankt sich für Ihre Unterstützung in dieser schwierigen Zeit.

StartCom kontaktiert einige andere Zertifizierungsstellen, um Ihnen die erforderlichen Zertifikate zur Verfügung zu stellen. Wenn Sie nicht möchten, dass wir Ihnen eine Alternative anbieten, kontaktieren Sie uns bitte unter [email protected]

Bitte lassen Sie uns wissen, wenn Sie weitere Unterstützung beim Übergangsprozess benötigen. Wir entschuldigen uns zutiefst für etwaige Unannehmlichkeiten.

Mit freundlichen Grüßen, StartCom Certification Authority

Stephen Ostermiller
quelle
1
Dies sollte wahrscheinlich die akzeptierte Antwort sein, da sie Informationen direkt von der Quelle des Problems enthält. Keine Notwendigkeit, meine zu wählen, weil es früher gepostet wurde.
Tom Brossman
1
Ich füge nur Informationen zu Ihrer bereits ausgezeichneten Antwort hinzu. :-) Ich möchte auch @SteffenUllrich erwähnen, der einen Kommentar gepostet hat, der mich in die richtige Richtung wies, bevor es irgendwelche Antworten gab. Ich dachte ursprünglich, ich hätte das Zertifikat falsch installiert.
Stephen Ostermiller