StartSSL sertifikası, Firefox'ta SEC_ERROR_REVOKED_CERTIFICATE ve Chrome'da ERR_CERT_AUTHORITY_INVALID veriyor


17

Mevcut HTTPS sertifikamın süresi yakında doluyor, bu yüzden yeni bir tane aldım. Gerçi düzgün bir şekilde yüklerken çok zorlanıyorum. *.deadsea.ostermiller.orgApache web sunucuma yüklemeye çalıştığım için StartSSL'den bir joker karakter sertifikam var . SSL için Apache yapılandırmam:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Hangi talimatları aldım talimatlar: https://www.startssl.com/Support?v=21 Sonra iyi yeniden başlar apache yeniden başlatın. Sonra çeşitli tarayıcılarda https://test.deadsea.ostermiller.org/ (404 hatası vermeli) erişmeye çalışıyorum ve bazıları çalışıyor ve bazıları çalışmıyor.


Kıvırmak gayet iyi:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs, A- puanını verir ve "güvenilir" olduğunu söyler:


Microsoft Edge tarayıcısı doğru şeyi yapar:


Chrome bir NET :: ERR_CERT_AUTHORITY_INVALID hatası veriyor:


Firefox SEC_ERROR_REVOKED_CERTIFICATE hatası veriyor:


Safari, geçersiz bir yayıncı olduğunu söylüyor:


Neler yanlış gidiyor ve neden tarayıcılar arasında bu kadar çok anlaşmazlık var?


1
'Geçersiz yayıncı' bir ipucu değil mi? Ama neden şimdi LLLEncrypt civarında olduğu için SLL için daha fazla ödeme yapıyorsunuz?
Steve

6
Bu, büyük tarayıcıların yeni sertifikalar için ona güvenmemesine neden olan Startcom'un kötü davranışının bir sonucu olabilir: blog.mozilla.org/security/2016/10/24/…
Steffen Ullrich

1
@Steve LetsEncrypt joker karakterli alanları desteklemediğinden, bu durumda çalışmaz. Ayrıca OV veya EV sertifikaları da sunmuyorlar, bu yüzden onlardan çok iyi sertifika alamıyorum.
Stephen Ostermiller

1
@SteffenUllrich Wow, bunu bilmiyordum. Yıllardır StartSSL kullanıyorum. Umarım önümüzdeki hafta mevcut sertifikalarım sona ermeden yeni bir sertifika veren bulmak zorunda değilim.
Stephen Ostermiller

Sahip olduğunuz alt alan adlarının sayısına bağlı olarak, Let's Encrypt'i kullanabilirsiniz. Sertifika başına en fazla 100 SAN destekler. GetSSL kullanarak, düzenli olarak alt alan adları eklemek veya kaldırmak zorunda kalırsanız bunu otomatik hale getirebilirsiniz. Yaklaşık 300 müşteriye hizmet veriyoruz ve sadece 3 sertifikamız var.
user1771561

Yanıtlar:


26

Sana kötü haberlerim var. Startssl en sertifikaları vardır artık Chrome, Firefox ve yakında diğer tarayıcılar tarafından güvenilen , öncelikle yeni ihraç sertifikaları ile başlayan . StartSSL elbette bunu söylemeyecek ve size mutlu bir şekilde yeni cerler satacak ve son derece gölgeli davranış kalıplarını sürdürecektir .

Bu noktada tüm ı tavsiye edebilir (siz / Certbot kullanamazsınız olmaz varsayarak?) Gibi bir yere diğerine joker sertifika satın alarak hasar dizginleme cheapsslsecurity.com . Hiçbir ortaklık, sadece bir önceki müşteri ve ucuz ve kullanımı kolay.

Yeni sertifikanız artık iyi değil ve değiştirmelisiniz.


5
Let's Encrypt ve CertBot seçeneklerinin cevabınızda daha belirgin bağlantılar ile daha görünür olması gerektiğine inanıyorum. Bir CA'dan diğerine geçmek, Let's Encrypt'e geçmenin ideal şansıdır ve sertifika sorunları ile bir kez ve herkes için yapılabilir. Artık her yıl yeni bir sertifika istemeniz gerekmiyor. Web sunucunuz yaşadığı sürece otomatik olarak yenilenecektir.
vog

8

StartSSL bunun kısmen iptal edilmiş StartCom kök sertifikası nedeniyle olduğunu doğruladı. Kök sertifikalarını tekrar tarayıcılar tarafından tamamen güvenilir hale getirmek için çalışıyorlar. Şubat sonunun en erken zaman dilimi olacağı anlaşılıyor, bu yüzden iki hafta içinde sona erecek olan bentlerime yardım etmek için zamanında değil. :-(

Nereye: Stephen Ostermiller,

Bu elektronik posta iletisi StartCom'un Yönetim Personeli tarafından oluşturuldu:

Merhaba,

21.10.2016 tarihinden önce verilen tüm sertifikalar etkilenmez. 21.10.2016 tarihinden sonra verilen sertifikalara Chrome, Firefox ve Safari tarayıcılarında güvenilmez.

Güvensizlik ile ilgili resmi belge> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

İyileştirme planı üzerinde çok çalışıyoruz ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) ve ASAP güvenini yeniden kazanmak için her şeyi yapıyoruz. Tamamen tamamlanmış adımlardan biri - https://startssl.com/NewsDetails?date=20160919

Geçici bir çözümle ilgili bazı gecikmelerimiz var, ancak yalnızca daha sonra Şubat ayında daha fazla bilgiye sahip olacağız.

Bu durum için özür dileriz.

lütfen bu emaile cevap vermeyiniz. Bu, izlenmeyen bir e-posta adresidir ve bu e-postaya verilen yanıtlar yanıtlanamaz veya okunamaz. Herhangi bir sorunuz veya yorumunuz varsa, sorunuzu bize göndermek için Burayı tıklayın (( https://startssl.com/reply ), teşekkürler.

Saygılarımızla
StartCom ™ Sertifika Yetkilisi

Qualys SSL Laboratuvarları

Qualys SSL Labs'ın hatayı neden bildirmediğine gelince , forumlarında iptalin normal şekilde ele alınmadığı için belirli bir vakayı kodlamak zorunda kalacaklarını söyleyen bir konu buldum . Henüz yapmadılar, ama açık bir hata var .

CA normal olarak iptal edilmedi, bu nedenle iptal edilen sertifikalar için sadece OCSP veya CRL'ye bakmanın bir yolu yoktur. StartCom'un Mozilla'ya göre, Google ve Apple birkaç kuralı ihlal etti, ancak StartCom önde gelen sertifika yetkililerinden biri olduğundan, CA sertifikasını iptal etmek çok büyük bir eylem olurdu, milyonlarca web sayfası çalışmayı bırakacaktı. Tarayıcının yeni sürümünden başlayarak bu CA tarafından verilen yeni sertifikalara güvenmeyi bırakacaklarına karar verdiler. Bu, iki ay önce duyuruldu, bu nedenle web yöneticilerinin diğer CA'dan yeni sertifika almak için zamanları oldu.

Bu, CA değişikliğine güvenmemek için tarayıcıların YENİ sürümlerinde sabit olarak kodlanmıştır, bu nedenle ssllabs.com'da bazı yararlı sonuçlar elde etmek için, bu kuralların testte de sabit kodlanmış olması gerekir. En güzel çözüm değil, ama tek görünüyor.

Firefox

Mozilla Güvenlik Blogu: Yeni WoSign ve StartCom Sertifikalarına Güvensizlik

Krom

Google ve Chrome'a ​​Güvensiz WoSign ve StartCom Sertifikaları

Chrome, sonraki tarayıcı sürümleriyle bu sertifikalara güvenmekten giderek uzaklaşıyor .

  • Chrome 56, 21 Ekim 2016'dan sonra verilen tüm sertifikalara güvenmez.
  • Site 57, Alexa en iyi bir milyon sitede yer almadığı sürece Chrome 57 de tüm eski sertifikalara güvenmiyor.
  • Chrome 58, site Alexa'nın en büyük 500.000 sürümünde olmadığı sürece tüm eski sertifikaları da rahatsız ediyor.
  • Krom 61 güvenmiyor TÜM startssl ve WoSign tarafından imzalı sertifikalar

Safari

WoSign CA Ücretsiz SSL Sertifikası G2 için Apple ve Safari Engelleme Güven

StartCom'un sonu

StartCom'dan kapatılmalarına ilişkin aşağıdaki e-postayı aldım:

Değerli müşterimiz,

Kesinlikle bildiğiniz gibi, tarayıcı üreticileri StartCom'a yaklaşık bir yıl önce güvenmediği için, StartCom tarafından yeni verilen tüm son varlık sertifikalarına tarayıcılarda varsayılan olarak güvenilmiyor.

Tarayıcılar, sertifikaların yeniden kabul edilebilmesi için bazı koşullar getirmiştir. StartCom bu koşulların karşılandığına inanıyor olsa da, ortaya çıkacak bazı zorluklar var gibi görünüyor. Bu durum göz önüne alındığında, StartCom sahipleri şirketi Startcom web sitesinde belirtildiği gibi bir Sertifika Yetkilisi olarak feshetmeye karar verdiler.

StartCom, 1 Ocak 2018'den itibaren yeni sertifikaların verilmesini durduracak ve iki yıl daha yalnızca CRL ve OCSP hizmetleri sunacaktır.

StartCom bu zor zamanda desteğiniz için teşekkür eder.

StartCom, size gerekli sertifikaları sağlamak için başka CA'larla bağlantı kuruyor. Size bir alternatif sunmamızı istemiyorsanız, lütfen certmaster@startcomca.com adresinden bize ulaşın.

Geçiş işlemiyle ilgili daha fazla yardıma ihtiyacınız olursa lütfen bize bildirin. Bunun neden olabileceği aksaklıklar için özür dileriz.

Saygılarımızla, StartCom Sertifika Yetkilisi


1
Sorunun kaynağından doğrudan bilgi içerdiğinden, bu muhtemelen kabul edilen cevap olmalıdır. Daha önce yayınlandığı için benimkini seçmeye gerek yok.
Tom Brossman

1
Sadece mükemmel cevabınıza bilgi ekliyorum. :-) Ayrıca ben herhangi bir cevap önce beni doğru yönde işaret eden bir yorum gönderen @SteffenUllrich kredi istiyorum. Başlangıçta sertifikayı yanlış kurduğumu sanıyordum.
Stephen Ostermiller
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.