Das StartSSL-Zertifikat gibt SEC_ERROR_REVOKED_CERTIFICATE in Firefox und ERR_CERT_AUTHORITY_INVALID in Chrome

Mein vorhandenes HTTPS-Zertifikat läuft bald ab, daher habe ich ein neues gekauft. Es fällt mir allerdings sehr schwer, es richtig zu installieren. Ich habe ein Wildcard-Zertifikat von StartSSL *.deadsea.ostermiller.org, das ich auf meinem Apache-Webserver installieren möchte. Meine Apache-Konfiguration für SSL ist:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Aus den Anweisungen, die ich erhalten habe: https://www.startssl.com/Support?v=21 Dann starte ich Apache neu, was gut funktioniert. Ich versuche dann, in verschiedenen Browsern auf https://test.deadsea.ostermiller.org/ zuzugreifen (was einen 404-Fehler ergeben sollte). Einige funktionieren, andere nicht.

Locken tut gut:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs bewertet es mit A- und sagt, dass es "vertrauenswürdig" ist:

Microsoft Edge Browser macht das Richtige:

Chrome gibt einen NET :: ERR_CERT_AUTHORITY_INVALID-Fehler aus:

Firefox gibt einen SEC_ERROR_REVOKED_CERTIFICATE-Fehler aus:

Safari sagt, dass es einen ungültigen Aussteller gibt:

Was läuft falsch und warum gibt es so viele Meinungsverschiedenheiten zwischen den Browsern?

Ich habe schlechte Nachrichten für dich. StartSSL-Zertifikate werden von Chrome, Firefox und bald auch anderen Browsern nicht mehr als vertrauenswürdig eingestuft , beginnend mit neu ausgestellten Zertifikaten . StartSSL wird Ihnen dies natürlich nicht mitteilen und wird Ihnen gerne neue Zertifikate verkaufen, die ihr äußerst zwielichtiges Verhaltensmuster fortsetzen.

An diesem Punkt kann ich nur die Schadensbegrenzung empfehlen, indem ich ein anderes Wildcard-Zertifikat kaufe (vorausgesetzt, Sie werden / können Certbot nicht verwenden?), Das von einem Ort wie cheapsslsecurity.com stammt . Keine Zugehörigkeit, nur ein vorheriger Kunde und sie waren billig und einfach zu bedienen.

Ihr neues Zertifikat ist nicht mehr gültig und Sie müssen es ersetzen.

StartSSL hat bestätigt, dass dies auf das teilweise widerrufene StartCom-Stammzertifikat zurückzuführen ist. Sie arbeiten daran, dass das Root-Zertifikat wieder von den Browsern als vertrauenswürdig eingestuft wird. Es hört sich so an, als wäre Ende Februar der früheste Zeitrahmen, also nicht rechtzeitig, um meinen Zertifikaten zu helfen, die in zwei Wochen verfallen. :-(

An: Stephen Ostermiller,

Diese E-Mail-Nachricht wurde vom Verwaltungspersonal von StartCom erstellt:

Hallo,

Alle vor dem 21.10.2016 ausgestellten Zertifikate sind nicht betroffen. Zertifikate, die nach dem 21.10.2016 ausgestellt wurden, sind in den Browsern Chrome, Firefox und Safari nicht mehr vertrauenswürdig.

Offizielles Dokument über Misstrauen> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Wir arbeiten intensiv an einem Plan zur Wiederherstellung des Vertrauens ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ). Einer der Schritte ist bereits vollständig ausgeführt - https://startssl.com/NewsDetails?date=20160919

Wir haben einige Verzögerungen mit einer Zwischenlösung, werden aber erst später im Februar mehr Informationen haben.

Wir entschuldigen uns für die Unannehmlichkeiten.

Bitte antworten Sie nicht auf diese Email. Dies ist eine nicht überwachte E-Mail-Adresse. Antworten auf diese E-Mail können nicht beantwortet oder gelesen werden. Wenn Sie Fragen oder Kommentare haben, klicken Sie einfach hier (( https://startssl.com/reply )), um Ihre Frage an uns zu senden, danke.

Mit freundlichen Grüßen
StartCom ™ -Zertifizierungsstelle

Qualys SSL Labs

Was den Grund angeht, warum Qualys SSL Labs den Fehler nicht meldet, habe ich in ihren Foren einen Thread gefunden , der besagt, dass sie einen bestimmten Fall hart codieren müssten, da der Widerruf nicht auf normale Weise behandelt wurde. Sie haben dies noch nicht getan, aber sie haben einen Fehler offen, um dies zu tun .

CA wurde nicht gewöhnlich widerrufen, sodass es keine Möglichkeit gibt, nur OCSP oder CRL nach widerrufenen Zertifikaten zu durchsuchen. StartCom hat laut Mozilla, Google und Apple gegen mehrere Regeln verstoßen, aber da StartCom eine der führenden Zertifizierungsstellen ist, wäre es einfach zu umfangreich, ein CA-Zertifikat zu widerrufen, und Millionen von Webseiten würden nicht mehr funktionieren. Sie haben beschlossen, dass sie den neu ausgestellten Zertifikaten dieser Zertifizierungsstelle ab der neuen Version des Browsers nicht mehr vertrauen. Dies wurde wie vor zwei Monaten angekündigt, sodass Webadministratoren Zeit hatten, ein neues Zertifikat von einer anderen Zertifizierungsstelle zu erhalten.

Diese nicht vertrauenswürdige Änderung der Zertifizierungsstelle ist in NEUEN Browserversionen fest programmiert. Um also auf ssllabs.com einige nützliche Ergebnisse zu erzielen, sollten diese Regeln auch im Test fest programmiert werden. Nicht die schönste Lösung, aber es sieht die einzige aus.

Feuerfuchs

Mozilla Security Blog: Misstrauen gegen neue WoSign- und StartCom-Zertifikate

Chrom

Google und Chrome misstrauen WoSign- und StartCom-Zertifikaten

Chrome entfernt nach und nach das Misstrauen gegenüber diesen Zertifikaten in späteren Browser-Versionen .

• Chrome 56 misstraut allen Zertifikaten, die nach dem 21. Oktober 2016 ausgestellt wurden.
• Chrome 57 misstraut auch allen alten Zertifikaten, es sei denn, die Site gehört zu den Alexa-Top-1-Million-Sites.
• Chrome 58 misstraut auch allen alten Zertifikaten, es sei denn, die Website gehört zu den Top 500.000 von Alexa.
• Chrome 61 misstraut ALLE Zertifikate unterzeichnet von StartSSL und WoSign

Safari

Apple und Safari blockieren Trust für WoSign CA Free SSL Certificate G2

Das Ende von StartCom

Ich habe die folgende E-Mail von StartCom über das Herunterfahren erhalten:

Sehr geehrter Kunde,

Wie Sie sicherlich wissen, misstrauten die Browserhersteller vor rund einem Jahr StartCom, weshalb in Browsern standardmäßig nicht alle von StartCom neu ausgestellten End-Entity-Zertifikate als vertrauenswürdig eingestuft werden.

Die Browser haben einige Bedingungen festgelegt, damit die Zertifikate wieder akzeptiert werden. Obwohl StartCom der Ansicht ist, dass diese Bedingungen erfüllt sind, bestehen nach wie vor gewisse Schwierigkeiten. In Anbetracht dieser Situation haben die Eigentümer von StartCom beschlossen, das Unternehmen als Zertifizierungsstelle zu kündigen, wie auf der Website von Startcom angegeben.

StartCom stellt die Ausstellung neuer Zertifikate ab dem 1. Januar 2018 ein und bietet für zwei weitere Jahre nur noch CRL- und OCSP-Dienste an.

StartCom bedankt sich für Ihre Unterstützung in dieser schwierigen Zeit.

StartCom kontaktiert einige andere Zertifizierungsstellen, um Ihnen die erforderlichen Zertifikate zur Verfügung zu stellen. Wenn Sie nicht möchten, dass wir Ihnen eine Alternative anbieten, kontaktieren Sie uns bitte unter [email protected]

Bitte lassen Sie uns wissen, wenn Sie weitere Unterstützung beim Übergangsprozess benötigen. Wir entschuldigen uns zutiefst für etwaige Unannehmlichkeiten.

Mit freundlichen Grüßen, StartCom Certification Authority