Mein vorhandenes HTTPS-Zertifikat läuft bald ab, daher habe ich ein neues gekauft. Es fällt mir allerdings sehr schwer, es richtig zu installieren. Ich habe ein Wildcard-Zertifikat von StartSSL *.deadsea.ostermiller.org
, das ich auf meinem Apache-Webserver installieren möchte. Meine Apache-Konfiguration für SSL ist:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt
Aus den Anweisungen, die ich erhalten habe: https://www.startssl.com/Support?v=21 Dann starte ich Apache neu, was gut funktioniert. Ich versuche dann, in verschiedenen Browsern auf https://test.deadsea.ostermiller.org/ zuzugreifen (was einen 404-Fehler ergeben sollte). Einige funktionieren, andere nicht.
Locken tut gut:
$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8
Qualys SSL Labs bewertet es mit A- und sagt, dass es "vertrauenswürdig" ist:
Microsoft Edge Browser macht das Richtige:
Chrome gibt einen NET :: ERR_CERT_AUTHORITY_INVALID-Fehler aus:
Firefox gibt einen SEC_ERROR_REVOKED_CERTIFICATE-Fehler aus:
Safari sagt, dass es einen ungültigen Aussteller gibt:
Was läuft falsch und warum gibt es so viele Meinungsverschiedenheiten zwischen den Browsern?
quelle
Antworten:
Ich habe schlechte Nachrichten für dich. StartSSL-Zertifikate werden von Chrome, Firefox und bald auch anderen Browsern nicht mehr als vertrauenswürdig eingestuft , beginnend mit neu ausgestellten Zertifikaten . StartSSL wird Ihnen dies natürlich nicht mitteilen und wird Ihnen gerne neue Zertifikate verkaufen, die ihr äußerst zwielichtiges Verhaltensmuster fortsetzen.
An diesem Punkt kann ich nur die Schadensbegrenzung empfehlen, indem ich ein anderes Wildcard-Zertifikat kaufe (vorausgesetzt, Sie werden / können Certbot nicht verwenden?), Das von einem Ort wie cheapsslsecurity.com stammt . Keine Zugehörigkeit, nur ein vorheriger Kunde und sie waren billig und einfach zu bedienen.
Ihr neues Zertifikat ist nicht mehr gültig und Sie müssen es ersetzen.
quelle
StartSSL hat bestätigt, dass dies auf das teilweise widerrufene StartCom-Stammzertifikat zurückzuführen ist. Sie arbeiten daran, dass das Root-Zertifikat wieder von den Browsern als vertrauenswürdig eingestuft wird. Es hört sich so an, als wäre Ende Februar der früheste Zeitrahmen, also nicht rechtzeitig, um meinen Zertifikaten zu helfen, die in zwei Wochen verfallen. :-(
Qualys SSL Labs
Was den Grund angeht, warum Qualys SSL Labs den Fehler nicht meldet, habe ich in ihren Foren einen Thread gefunden , der besagt, dass sie einen bestimmten Fall hart codieren müssten, da der Widerruf nicht auf normale Weise behandelt wurde. Sie haben dies noch nicht getan, aber sie haben einen Fehler offen, um dies zu tun .
Feuerfuchs
Mozilla Security Blog: Misstrauen gegen neue WoSign- und StartCom-Zertifikate
Chrom
Google und Chrome misstrauen WoSign- und StartCom-Zertifikaten
Chrome entfernt nach und nach das Misstrauen gegenüber diesen Zertifikaten in späteren Browser-Versionen .
Safari
Apple und Safari blockieren Trust für WoSign CA Free SSL Certificate G2
Das Ende von StartCom
Ich habe die folgende E-Mail von StartCom über das Herunterfahren erhalten:
quelle