it-swarm.com.de

StartSSL-Zertifikat gibt SEC_ERROR_REVOKED_CERTIFICATE in Firefox und ERR_CERT_AUTHORITY_INVALID in Chrome

Mein bestehendes HTTPS-Zertifikat läuft bald ab, daher habe ich ein neues gekauft. Es fällt mir allerdings sehr schwer, es richtig zu installieren. Ich habe ein Wildcard-Zertifikat von StartSSL für *.deadsea.ostermiller.org, das ich auf meinem Apache-Webserver installieren möchte. Meine Apache-Konfiguration für SSL ist:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/Apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/Apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/Apache2/ssl/2017-startssl-class3-root-bundle.crt

Aus den Anweisungen, die ich erhalten habe: https://www.startssl.com/Support?v=21 Ich starte dann Apache neu, wodurch ein Neustart problemlos möglich ist. Ich versuche dann, auf https://test.deadsea.ostermiller.org/ (das sollte einen 404-Fehler geben) in verschiedenen Browsern zuzugreifen und einige funktionieren und andere nicht.


Locken tut gut:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs bewertet es mit A - und sagt, dass es "vertrauenswürdig" ist:


Microsoft Edge Browser macht das Richtige:


Chrome gibt einen NET :: ERR_CERT_AUTHORITY_INVALID-Fehler aus:


Firefox gibt einen SEC_ERROR_REVOKED_CERTIFICATE-Fehler aus:


Safari sagt, dass es einen ungültigen Aussteller gibt:


Was läuft falsch und warum gibt es so viele Meinungsverschiedenheiten zwischen den Browsern?

17

Ich habe schlechte Nachrichten für dich. Die StartSSL-Zertifikate sind von Chrome, Firefox und bald auch anderen Browsern nicht mehr als vertrauenswürdig eingestuft , beginnend mit den zuerst ausgestellten Zertifikaten . StartSSL wird Ihnen dies natürlich nicht mitteilen und wird Ihnen gerne neue Zertifikate verkaufen, die ihr extrem zwielichtiges Verhaltensmuster fortsetzen.

An diesem Punkt kann ich nur die Schadensbegrenzung empfehlen, indem ich ein anderes Wildcard-Zertifikat kaufe (vorausgesetzt, Sie werden/können Certbot nicht verwenden?) Von einem Ort wie cheapsslsecurity.com . Keine Zugehörigkeit, nur ein vorheriger Kunde und sie waren billig und einfach zu bedienen.

Ihr neues Zertifikat ist nicht mehr gültig und Sie müssen es ersetzen.

26
Tom Brossman

StartSSL hat bestätigt, dass dies auf das teilweise widerrufene StartCom-Stammzertifikat zurückzuführen ist. Sie arbeiten daran, dass die Browser ihrem Stammzertifikat wieder voll vertrauen. Es hört sich so an, als wäre Ende Februar der früheste Zeitrahmen, also nicht rechtzeitig, um meinen Zertifikaten zu helfen, die in zwei Wochen verfallen. :

An: Stephen Ostermiller,

Diese E-Mail-Nachricht wurde vom Verwaltungspersonal von StartCom erstellt:

Hallo,

Alle Zertifikate, die vor dem 21.10.2016 ausgestellt wurden, sind nicht betroffen. Zertifikate, die nach dem 21.10.2016 ausgestellt wurden, sind in den Browsern Chrome, Firefox und Safari nicht mehr vertrauenswürdig.

Offizielles Dokument über Misstrauen> --- (https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Wir arbeiten intensiv an einem Plan zur Wiederherstellung des Vertrauens ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ). Einer der Schritte ist bereits vollständig ausgeführt - https://startssl.com/NewsDetails?date=20160919

Wir haben einige Verzögerungen mit einer Zwischenlösung, werden aber erst später im Februar mehr Informationen haben.

Wir entschuldigen uns für die Unannehmlichkeiten.

Bitte antworten Sie nicht auf diese Email. Dies ist eine nicht überwachte E-Mail-Adresse. Antworten auf diese E-Mail können nicht beantwortet oder gelesen werden. Wenn Sie Fragen oder Kommentare haben, klicken Sie einfach hier (( https://startssl.com/reply ), um Ihre Frage an uns zu senden, danke.

Freundliche Grüße
StartCom ™ -Zertifizierungsstelle

Qualys SSL Labs

Um zu erfahren, warum Qualys SSL Labs den Fehler nicht meldet, habe ich ein Thema in ihren Foren gefunden, das besagt, dass sie einen bestimmten Fall dafür hart codieren müssten, da der Widerruf nicht normal gehandhabt wurde Weg. Sie haben dies noch nicht getan, aber sie haben ein Fehler offen, um dies zu tun .

CA wurde nicht gewöhnlich widerrufen, sodass es keine Möglichkeit gibt, nur OCSP oder CRL nach widerrufenen Zertifikaten zu durchsuchen. StartCom hat laut Mozilla, Google und Apple gegen mehrere Regeln verstoßen, aber da StartCom eine der führenden Zertifizierungsstellen ist, wäre es einfach zu umfangreich, ein CA-Zertifikat zu widerrufen, und Millionen von Webseiten würden nicht mehr funktionieren. Sie haben beschlossen, dass sie den neu ausgestellten Zertifikaten dieser Zertifizierungsstelle ab der neuen Version des Browsers nicht mehr vertrauen. Dies wurde wie vor zwei Monaten angekündigt, sodass Webadministratoren Zeit hatten, ein neues Zertifikat von einer anderen Zertifizierungsstelle zu erhalten.

Diese nicht vertrauenswürdige Änderung der Zertifizierungsstelle ist in NEUEN Browserversionen fest programmiert. Um also auf ssllabs.com einige nützliche Ergebnisse zu erzielen, sollten diese Regeln auch im Test fest programmiert werden. Nicht die schönste Lösung, aber es sieht die einzige aus.

Feuerfuchs

Mozilla Security Blog: Misstrauen gegen neue WoSign- und StartCom-Zertifikate

Chrome

Google und Chrome misstrauen WoSign- und StartCom-Zertifikaten

Chrome entfernt nach und nach das Misstrauen gegenüber diesen Zertifikaten bei nachfolgenden Browserversionen .

  • Chrome 56 misstraut allen Zertifikaten, die nach dem 21. Oktober 2016 ausgestellt wurden.
  • Chrome 57 misstraut auch allen alten Zertifikaten, es sei denn, die Site gehört zu den Alexa-Top-1-Million-Sites.
  • Chrome 58 misstraut auch allen alten Zertifikaten, es sei denn, die Site befindet sich in den Alexa-Top 500.000.
  • Chrome 61 Misstrauen ALLE von StartSSL und WoSign signierten Zertifikate

Safari

Apple und Safari Blocking Trust für WoSign CA Free SSL-Zertifikat G2

Das Ende von StartCom

Ich habe die folgende E-Mail von StartCom über das Herunterfahren erhalten:

Sehr geehrter Kunde,

Wie Sie sicherlich wissen, misstrauten die Browserhersteller vor rund einem Jahr StartCom, weshalb in Browsern standardmäßig nicht alle von StartCom neu ausgestellten End-Entity-Zertifikate als vertrauenswürdig eingestuft werden.

Die Browser haben einige Bedingungen festgelegt, damit die Zertifikate wieder akzeptiert werden. Obwohl StartCom der Ansicht ist, dass diese Bedingungen erfüllt sind, bestehen nach wie vor gewisse Schwierigkeiten. In Anbetracht dieser Situation haben die Eigentümer von StartCom beschlossen, das Unternehmen als Zertifizierungsstelle zu kündigen, wie auf der Website von Startcom angegeben.

StartCom wird ab dem 1. Januar 2018 keine neuen Zertifikate mehr ausstellen und für zwei weitere Jahre nur noch CRL- und OCSP-Dienste anbieten.

StartCom bedankt sich für Ihre Unterstützung in dieser schwierigen Zeit.

StartCom kontaktiert einige andere Zertifizierungsstellen, um Ihnen die erforderlichen Zertifikate zur Verfügung zu stellen. Wenn Sie nicht möchten, dass wir Ihnen eine Alternative anbieten, kontaktieren Sie uns bitte unter [email protected]

Bitte lassen Sie uns wissen, wenn Sie weitere Unterstützung beim Übergangsprozess benötigen. Wir entschuldigen uns zutiefst für etwaige Unannehmlichkeiten.

Mit freundlichen Grüßen, StartCom Certification Authority

8