ใบรับรอง StartSSL ให้ SEC_ERROR_REVOKED_CERTIFICATE ใน Firefox และ ERR_CERT_AUTHORITY_INVALID ใน Chrome

ใบรับรอง HTTPS ที่ฉันมีอยู่กำลังจะหมดอายุในไม่ช้าฉันจึงซื้อใบรับรองใหม่ ฉันมีเวลายากมากในการติดตั้งอย่างถูกต้องแม้ว่า ฉันมีใบรับรองไวด์การ์ดจาก StartSSL เนื่องจาก*.deadsea.ostermiller.orgฉันพยายามติดตั้งบนเว็บเซิร์ฟเวอร์ Apache ของฉัน การกำหนดค่า Apache ของฉันสำหรับ SSL คือ:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

ซึ่งมาจากคำแนะนำที่ฉันได้รับจาก: https://www.startssl.com/Support?v=21 ฉันรีสตาร์ท apache ซึ่งรีสตาร์ทได้ดี ฉันกำลังพยายามเข้าถึงhttps://test.deadsea.ostermiller.org/ (ซึ่งควรให้ข้อผิดพลาด 404) ในเบราว์เซอร์ต่างๆและบางอันกำลังทำงานอยู่และบางอันก็ไม่ได้

Curl ทำได้ดี:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs ให้คะแนน A-และบอกว่าเป็น "เชื่อถือได้":

เบราว์เซอร์ Microsoft Edge ทำสิ่งที่ถูกต้อง:

Chrome ให้ข้อผิดพลาด NET :: ERR_CERT_AUTHORITY_INVALID:

Firefox ให้ข้อผิดพลาด SEC_ERROR_REVOKED_CERTIFICATE:

Safari บอกว่ามีผู้ออกที่ไม่ถูกต้อง:

เกิดอะไรขึ้นและทำไมจึงมีความขัดแย้งกันมากระหว่างเบราว์เซอร์

ฉันมีข่าวดีสำหรับคุณ ใบรับรอง startssl จะเชื่อถือได้ไม่มีอีกต่อไปโดย Chrome, Firefox และเบราว์เซอร์อื่น ๆ เร็ว ๆ นี้ , เริ่มต้นด้วยใบรับรองที่ออกใหม่ครั้งแรก startssl จะไม่บอกคุณนี้แน่นอนและมีความสุขจะขายคุณใบรับรองใหม่อย่างต่อเนื่องของพวกเขาร่มรื่นมากรูปแบบของพฤติกรรม

ณ จุดนี้ทั้งหมดที่ฉันสามารถแนะนำคือการควบคุมความเสียหายโดยการซื้ออีกใบรับรองตัวแทน (สมมติว่าคุณจะไม่ได้ / ไม่สามารถใช้ Certbot?) จากที่อื่นเช่นcheapsslsecurity.com ไม่มีการติดต่อเพียงแค่ลูกค้าคนก่อนและราคาถูกและใช้งานง่าย

ใบรับรองใหม่ของคุณไม่ดีอีกต่อไปและคุณต้องแทนที่

StartSSL ยืนยันว่านี่เป็นเพราะใบรับรองรูทของ StartCom ที่ถูกเพิกถอนบางส่วน พวกเขากำลังทำงานเพื่อรับใบรับรองหลักที่เชื่อถือได้โดยเบราว์เซอร์อีกครั้ง ดูเหมือนว่าปลายเดือนกุมภาพันธ์จะเป็นช่วงเวลาที่เร็วที่สุดดังนั้นจึงไม่ใช่เวลาที่จะช่วยร้องของฉันที่หมดอายุในอีกสองสัปดาห์ :-(

ถึง: Stephen Ostermiller

ข้อความอีเมลอิเล็กทรอนิกส์นี้สร้างโดยบุคลากรการบริหารของ StartCom:

สวัสดี,

ใบรับรองทั้งหมดที่ออกก่อน 21.10.2016 จะไม่ได้รับผลกระทบ ใบรับรองที่ออกให้หลังจากวันที่ 21.10.2016 นั้นไม่น่าไว้วางใจในเบราว์เซอร์ Chrome, Firefox และ Safari

เอกสารอย่างเป็นทางการเกี่ยวกับความไม่ไว้วางใจ> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

เรากำลังทำงานอย่างหนักในแผนการแก้ไข ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) และเรากำลังทำทุกอย่างเพื่อให้ได้รับความไว้วางใจโดยเร็ว หนึ่งในขั้นตอนที่ทำเสร็จสมบูรณ์แล้ว - https://startssl.com/NewsDetails?date=20160919

เรามีความล่าช้าในการแก้ปัญหาชั่วคราว แต่จะมีข้อมูลเพิ่มเติมในเดือนกุมภาพันธ์นี้เท่านั้น

โปรดยอมรับคำขอโทษของเราในความไม่สะดวก

โปรดอย่าตอบกลับอีเมลนี้ นี่คือที่อยู่อีเมลที่ไม่ได้ตรวจสอบและการตอบกลับอีเมลนี้ไม่สามารถตอบกลับหรืออ่าน หากคุณมีคำถามหรือความคิดเห็นเพียงคลิกที่นี่ (( https://startssl.com/reply ) เพื่อส่งคำถามของคุณมาให้เราขอบคุณ

ขอแสดงความนับถือ
ผู้มีอำนาจออกใบรับรอง StartCom ™

Qualys SSL Labs

สำหรับสาเหตุที่ Qualys SSL Labs ไม่ได้รายงานข้อผิดพลาดฉันพบเธรดในฟอรัมของพวกเขาที่บอกว่าพวกเขาจะต้องเขียนโค้ดเฉพาะกรณียากเนื่องจากการเพิกถอนไม่ได้ดำเนินการตามปกติ พวกเขายังไม่ได้ทำ แต่พวกเขามีการเปิดข้อผิดพลาดที่จะทำเช่นนั้น

CA ไม่ได้ถูกเพิกถอนตามปกติดังนั้นจึงไม่มีทางรู้เลยว่าแค่ดู OCSP หรือ CRL สำหรับใบรับรองที่ถูกเพิกถอน StartCom เป็นไปตาม Mozilla, Google และ Apple ละเมิดกฎหลายข้อ แต่เนื่องจาก StartCom เป็นหนึ่งในผู้ออกใบรับรองชั้นนำจึงเป็นการกระทำที่ใหญ่เกินไปที่จะเพิกถอนใบรับรอง CA หน้าเว็บนับล้านหน้าจึงหยุดทำงาน พวกเขาตัดสินใจว่าจะหยุดเชื่อถือใบรับรองที่ออกใหม่โดย CA นี้เริ่มต้นด้วยเบราว์เซอร์เวอร์ชันใหม่ มีการประกาศเมื่อประมาณสองเดือนที่แล้วดังนั้นผู้ดูแลเว็บจึงมีเวลาได้รับใบรับรองใหม่จาก CA อื่น ๆ

สิ่งนี้ไม่น่าเชื่อว่าการเปลี่ยนแปลง CA นั้นจะมีการกำหนดค่าตายตัวในเบราว์เซอร์เวอร์ชันใหม่ดังนั้นเพื่อให้ได้ผลลัพธ์ที่มีประโยชน์บน ssllabs.com กฎนี้ควรมีการเข้ารหัสแบบฮาร์ดโค้ดในการทดสอบ ไม่ใช่วิธีการแก้ปัญหาข้ออ้างที่สุด แต่มันก็เป็นทางเดียวเท่านั้น

Firefox

Mozilla Security Blog: การมอบหมาย WoSign และ StartCom ใบรับรองใหม่

โครเมียม

Google และ Chrome กลั่นกรองใบรับรอง WoSign และ StartCom

Chrome กำลังนำใบรับรองเหล่านี้ออกอย่างช้าๆโดยไม่น่าเชื่อถือด้วยเบราว์เซอร์รุ่นต่อไป

• Chrome 56 ไม่ไว้วางใจใบรับรองทั้งหมดที่ออกให้หลังจากวันที่ 21 ตุลาคม 2559
• Chrome 57 ยังไม่ไว้วางใจใบรับรองเก่าทั้งหมดยกเว้นในกรณีที่ไซต์นั้นอยู่ในอันดับต้น ๆ หนึ่งล้านไซต์ของ Alexa
• Chrome 58 ยังไม่ไว้วางใจใบรับรองเก่าทั้งหมดยกเว้นในกรณีที่ไซต์อยู่ในอันดับต้น ๆ ของ Alexa 500,000
• Chrome 61 ไม่ไว้วางใจใบรับรองทั้งหมดที่ลงนามโดย StartSSL และ WoSign

การแข่งรถวิบาก

แอปเปิ้ลและ Safari ปิดกั้นความน่าเชื่อถือสำหรับ WoSign CA ฟรีใบรับรอง SSL G2

จุดสิ้นสุดของ StartCom

ฉันได้รับอีเมลต่อไปนี้จาก StartCom เกี่ยวกับการปิด:

เรียนลูกค้า

ตามที่คุณทราบผู้ผลิตเบราว์เซอร์ไม่ไว้วางใจ StartCom เมื่อประมาณหนึ่งปีที่ผ่านมาดังนั้นใบรับรองเอนทิตีปลายทางทั้งหมดที่ออกใหม่โดย StartCom จะไม่เชื่อถือตามค่าเริ่มต้นในเบราว์เซอร์

เบราว์เซอร์กำหนดเงื่อนไขบางประการเพื่อให้ใบรับรองได้รับการยอมรับอีกครั้ง ในขณะที่ StartCom เชื่อว่าเงื่อนไขเหล่านี้เป็นจริง แต่ก็ยังมีปัญหาบางอย่างที่กำลังจะเกิดขึ้น เมื่อพิจารณาถึงสถานการณ์นี้เจ้าของ StartCom ได้ตัดสินใจที่จะยกเลิก บริษัท ในฐานะผู้ออกใบรับรองตามที่ระบุไว้ในเว็บไซต์ของ Startcom

StartCom จะหยุดการออกใบรับรองใหม่เริ่มตั้งแต่วันที่ 1 มกราคม 2018 และจะให้บริการเฉพาะ CRL และ OCSP อีกสองปี

StartCom ขอขอบคุณสำหรับการสนับสนุนในช่วงเวลาที่ยากลำบากนี้

StartCom กำลังติดต่อ CA อื่น ๆ เพื่อให้ใบรับรองที่จำเป็นแก่คุณ ในกรณีที่คุณไม่ต้องการให้เราจัดหาทางเลือกให้คุณโปรดติดต่อเราที่ certmaster@startcomca.com

โปรดแจ้งให้เราทราบหากคุณต้องการความช่วยเหลือเพิ่มเติมเกี่ยวกับกระบวนการเปลี่ยนแปลง เราขออภัยอย่างยิ่งสำหรับความไม่สะดวกที่อาจเกิดขึ้น

ขอแสดงความนับถือ, StartCom Certification Authority