Sertifikat HTTPS saya yang sudah ada segera kedaluwarsa sehingga saya membeli yang baru. Saya mengalami kesulitan menginstalnya dengan benar. Saya memiliki sertifikat wildcard dari StartSSL untuk *.deadsea.ostermiller.org
itu saya mencoba menginstal di server web Apache saya. Konfigurasi Apache saya untuk SSL adalah:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt
Yang mana dari instruksi yang saya dapat dari: https://www.startssl.com/Support?v=21 Saya kemudian restart apache yang restart dengan baik. Saya kemudian mencoba mengakses https://test.deadsea.ostermiller.org/ (yang seharusnya memberikan kesalahan 404) di berbagai browser dan ada yang berfungsi dan ada yang tidak.
Curl tidak apa-apa:
$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8
Qualys SSL Labs memberi peringkat A- dan mengatakan bahwa itu "tepercaya":
Browser Microsoft Edge melakukan hal yang benar:
Chrome memberikan kesalahan NET :: ERR_CERT_AUTHORITY_INVALID:
Firefox memberikan kesalahan SEC_ERROR_REVOKED_CERTIFICATE:
Safari mengatakan bahwa ada penerbit yang tidak valid:
Apa yang salah dan mengapa ada begitu banyak pertikaian di antara browser?
sumber
Jawaban:
Saya punya kabar buruk untuk Anda. Sertifikat StartSSL tidak lagi dipercaya oleh Chrome, Firefox, dan segera browser lainnya , dimulai dengan sertifikat yang baru dikeluarkan terlebih dahulu . StartSSL tidak akan memberi tahu Anda hal ini dan akan dengan senang hati menjual sertifikat baru kepada Anda, melanjutkan pola perilaku mereka yang sangat teduh .
Pada titik ini yang bisa saya rekomendasikan adalah kontrol kerusakan dengan membeli sertifikat wildcard lain (dengan asumsi Anda tidak akan / tidak dapat menggunakan Certbot?) Dari suatu tempat seperti cheapsslsecurity.com . Tidak ada afiliasi, hanya pelanggan sebelumnya dan mereka murah dan mudah digunakan.
Sertifikat baru Anda tidak berguna lagi, dan Anda harus menggantinya.
sumber
StartSSL mengkonfirmasi bahwa ini adalah karena sertifikat root StartCom yang dicabut sebagian. Mereka berupaya mendapatkan sertifikat root sepenuhnya dipercaya oleh browser lagi. Kedengarannya seperti akhir Februari akan menjadi kerangka waktu paling awal, jadi tidak pada waktunya untuk membantu sertifikat saya yang kedaluwarsa dalam dua minggu. :-(
Qualys SSL Labs
Mengenai mengapa Qualys SSL Labs tidak melaporkan kesalahan, saya menemukan utas di forum mereka yang mengatakan bahwa mereka harus membuat kode kasus khusus untuk hard code karena pencabutan itu tidak ditangani dengan cara biasa. Mereka belum melakukannya, tetapi mereka memiliki bug yang terbuka untuk melakukannya .
Firefox
Blog Keamanan Mozilla: Tidak Memercayai WoSign Baru dan Sertifikat StartCom
Chrome
Google dan Chrome Tidak Memercayai Sertifikat WoSign dan StartCom
Chrome secara bertahap menghapus ketidakpercayaan terhadap sertifikat ini dengan rilis browser berikutnya .
Safari
Apple dan Safari Blocking Trust untuk WoSign CA Gratis Sertifikat SSL G2
Akhir dari StartCom
Saya menerima email berikut dari StartCom tentang mereka mematikan:
sumber