Il certificato StartSSL fornisce SEC_ERROR_REVOKED_CERTIFICATE in Firefox e ERR_CERT_AUTHORITY_INVALID in Chrome

17

Il mio attuale certificato HTTPS sta per scadere, quindi ne ho acquistato uno nuovo. Però sto facendo fatica a installarlo correttamente. Ho un certificato jolly da StartSSL per *.deadsea.ostermiller.orgquello che sto cercando di installare sul mio server web Apache. La mia configurazione di Apache per SSL è:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Che proviene dalle istruzioni che ho ricevuto da: https://www.startssl.com/Support?v=21 Quindi riavvio Apache che si riavvia correttamente. Sto quindi cercando di accedere a https://test.deadsea.ostermiller.org/ (che dovrebbe dare un errore 404) in vari browser e alcuni funzionano e altri no.

Il ricciolo va bene:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs lo classifica A- e afferma che è "attendibile":

Il browser Microsoft Edge fa la cosa giusta:

Chrome restituisce un errore NET :: ERR_CERT_AUTHORITY_INVALID:

Firefox genera un errore SEC_ERROR_REVOKED_CERTIFICATE:

Safari afferma che esiste un emittente non valido:

Cosa non va e perché c'è così tanto disaccordo tra i browser?

apache  https  apache2  security-certificate 
Stephen Ostermiller
fonte
1
L '"emittente non valido" non è un indizio? Ma perché pagare più per SLL ora che LetsEncrypt è in circolazione?
Steve
6
Questo potrebbe essere il risultato di un cattivo comportamento di Startcom che ha provocato la sfiducia nei browser da parte dei principali browser per i nuovi certificati: blog.mozilla.org/security/2016/10/24/…
Steffen Ullrich
1
@Steve LetsEncrypt non supporta i domini jolly, quindi non funzionerà in questo caso. Inoltre non offrono certificati OV o EV, quindi non posso ottenere certificati molto validi da loro.
Stephen Ostermiller
1
@SteffenUllrich Wow, non lo sapevo. Uso StartSSL da anni. Spero di non dover trovare un nuovo emittente di certificati entro la prossima settimana prima della scadenza dei certificati esistenti.
Stephen Ostermiller
A seconda del numero di sottodomini che hai, puoi usare Let's Encrypt. Supportano fino a 100 SAN per certificato. Utilizzando GetSSL, è possibile automatizzarlo se è necessario aggiungere o rimuovere regolarmente sottodomini. Serviamo circa 300 clienti e abbiamo solo 3 certificati.
user1771561

Risposte:

26

Ho delle brutte notizie per te. I certificati StartSSL non sono più considerati affidabili da Chrome, Firefox e presto da altri browser , a cominciare dai certificati di nuova emissione . StartSSL non te lo dirà naturalmente e ti venderà felicemente nuovi certificati, continuando il loro modello di comportamento estremamente losco .

A questo punto tutto ciò che posso consigliare è il controllo dei danni acquistando un altro certificato jolly (supponendo che tu non possa / non possa usare Certbot?) Da qualche parte come cheapsslsecurity.com . Nessuna affiliazione, solo un cliente precedente ed erano economici e facili da usare.

Il tuo nuovo certificato non è più valido e devi sostituirlo.

Tom Brossman
fonte
5
Credo che le opzioni di Let's Encrypt e CertBot dovrebbero essere più visibili nella tua risposta, con collegamenti importanti. Passare da una CA all'altra è la possibilità ideale di passare a Let's Encrypt ed eseguire i problemi con i certificati una volta per tutte. Non è più necessario richiedere un nuovo certificato anno dopo anno. Sarà rinnovato automaticamente per tutta la durata del tuo server web.
vog
8

StartSSL ha confermato che ciò è dovuto al certificato radice StartCom parzialmente revocato. Stanno lavorando per ottenere nuovamente il loro certificato radice completamente attendibile dai browser. Sembra che la fine di febbraio sarebbe il primo periodo di tempo, quindi non in tempo per aiutare i miei certificati che scadono tra due settimane. :-(

A: Stephen Ostermiller,

Questo messaggio di posta elettronica è stato creato dal personale amministrativo di StartCom:

Ciao,

Tutti i certificati emessi prima del 21.10.2016 non sono interessati. I certificati rilasciati dopo il 21.10.2016 sono diffidenti nei browser Chrome, Firefox e Safari.

Documento ufficiale sulla sfiducia> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Stiamo lavorando duramente al piano di risanamento ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) e stiamo facendo di tutto per riguadagnare fiducia al più presto. Uno dei passaggi già completati: https://startssl.com/NewsDetails?date=20160919

Abbiamo alcuni ritardi con una soluzione provvisoria, ma avremo maggiori informazioni solo più avanti a febbraio.

Ti preghiamo di accettare le nostre scuse per l'inconveniente.

Per favore non rispondere a questa email. Questo è un indirizzo email non monitorato e non è possibile rispondere o leggere le risposte a questa email. Se hai domande o commenti, fai clic qui (( https://startssl.com/reply ) per inviarci la tua domanda, grazie.

Cordiali saluti
Autorità di certificazione StartCom ™

Qualys SSL Labs

Per quanto riguarda il motivo per cui Qualys SSL Labs non segnala l'errore, ho trovato un thread nei loro forum che dice che avrebbero dovuto codificare un caso specifico perché la revoca non veniva gestita nel modo normale. Non l'hanno ancora fatto, ma hanno un bug aperto per farlo .

La CA non è stata revocata ordinariamente, quindi non c'è modo di conoscere solo OCSP o CRL per i certificati revocati. StartCom secondo Mozilla, Google e Apple ha violato diverse regole, ma poiché StartCom è una delle principali autorità di certificazione sarebbe un'azione troppo grande per revocare semplicemente il certificato CA, milioni di pagine web smetterebbero di funzionare. Hanno deciso che smetteranno di fidarsi dei nuovi certificati emessi da questa CA a partire dalla nuova versione del browser. Questo è stato annunciato come due mesi fa, quindi gli amministratori Web hanno avuto il tempo di ottenere un nuovo certificato da un'altra CA.

Questo per non fidarsi del cambiamento di CA è codificato nelle NUOVE versioni dei browser, quindi per ottenere alcuni risultati utili su ssllabs.com, anche queste regole dovrebbero essere codificate nel test. Non è la soluzione più carina, ma sembra l'unica.

Firefox

Blog sulla sicurezza di Mozilla: diffidare dei nuovi certificati WoSign e StartCom

Cromo

Google e Chrome non si fidano dei certificati WoSign e StartCom

Chrome sta rimuovendo gradualmente la fiducia di questi certificati con le successive versioni del browser .

  • Chrome 56 non si fida di tutti i certificati emessi dopo il 21 ottobre 2016.
  • Chrome 57 diffida anche di tutti i vecchi certificati a meno che il sito non sia tra i primi un milione di siti Alexa.
  • Chrome 58 diffida anche di tutti i vecchi certificati a meno che il sito non sia tra i primi 500.000 di Alexa.
  • Chrome 61 diffidenze TUTTI certificati firmati da StartSSL e WoSign

Safari

Trust di blocco Apple e Safari per WoSign CA Certificato SSL gratuito G2

La fine di StartCom

Ho ricevuto la seguente e-mail da StartCom in merito alla loro chiusura:

Caro cliente,

Come sicuramente saprai, i produttori di browser non si sono fidati di StartCom circa un anno fa e pertanto tutti i certificati di entità finale appena emessi da StartCom non sono considerati attendibili per impostazione predefinita nei browser.

I browser hanno imposto alcune condizioni affinché i certificati vengano riaccettati. Mentre StartCom ritiene che queste condizioni siano state soddisfatte, sembra che ci siano ancora alcune difficoltà imminenti. Considerando questa situazione, i proprietari di StartCom hanno deciso di chiudere la società come autorità di certificazione come indicato nel sito Web di Startcom.

StartCom interromperà l'emissione di nuovi certificati a partire dal 1 ° gennaio 2018 e fornirà solo servizi CRL e OCSP per altri due anni.

StartCom desidera ringraziarti per il tuo supporto in questo momento difficile.

StartCom sta contattando alcune altre autorità di certificazione per fornire i certificati necessari. Nel caso in cui non desideri che ti forniamo un'alternativa, ti preghiamo di contattarci a certmaster@startcomca.com

Fateci sapere se avete bisogno di ulteriore assistenza con il processo di transizione. Ci scusiamo profondamente per gli eventuali disagi che ciò può causare.

Cordiali saluti, Autorità di certificazione StartCom

Stephen Ostermiller
fonte
1
Questa dovrebbe probabilmente essere la risposta accettata in quanto contiene informazioni direttamente dalla fonte del problema. Non è necessario scegliere il mio perché è stato pubblicato in precedenza.
Tom Brossman,
1
Sto solo aggiungendo informazioni alla tua già eccellente risposta. :-) Vorrei anche ringraziare @SteffenUllrich che ha pubblicato un commento indicandomi nella giusta direzione prima che ci fossero risposte. Inizialmente pensavo di aver installato il certificato in modo errato.
Stephen Ostermiller
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.