Sertifikat StartSSL memberikan SEC_ERROR_REVOKED_CERTIFICATE di Firefox dan ERR_CERT_AUTHORITY_INVALID di Chrome

17

Sertifikat HTTPS saya yang sudah ada segera kedaluwarsa sehingga saya membeli yang baru. Saya mengalami kesulitan menginstalnya dengan benar. Saya memiliki sertifikat wildcard dari StartSSL untuk *.deadsea.ostermiller.orgitu saya mencoba menginstal di server web Apache saya. Konfigurasi Apache saya untuk SSL adalah:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Yang mana dari instruksi yang saya dapat dari: https://www.startssl.com/Support?v=21 Saya kemudian restart apache yang restart dengan baik. Saya kemudian mencoba mengakses https://test.deadsea.ostermiller.org/ (yang seharusnya memberikan kesalahan 404) di berbagai browser dan ada yang berfungsi dan ada yang tidak.

Curl tidak apa-apa:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs memberi peringkat A- dan mengatakan bahwa itu "tepercaya":

Browser Microsoft Edge melakukan hal yang benar:

Chrome memberikan kesalahan NET :: ERR_CERT_AUTHORITY_INVALID:

Firefox memberikan kesalahan SEC_ERROR_REVOKED_CERTIFICATE:

Safari mengatakan bahwa ada penerbit yang tidak valid:

Apa yang salah dan mengapa ada begitu banyak pertikaian di antara browser?

apache https apache2 security-certificate Stephen Ostermiller
sumber
1
Bukankah 'penerbit tidak valid "merupakan petunjuk? Tetapi mengapa membayar SLL lagi sekarang karena LetsEncrypt ada?
Steve
6
Ini mungkin hasil dari perilaku buruk Startcom yang menyebabkan peramban besar tidak mempercayai sertifikat baru: blog.mozilla.org/security/2016/10/24/…
Steffen Ullrich
1
@Steve LetsEncrypt tidak mendukung domain wildcard, jadi itu tidak akan berfungsi untuk kasus ini. Mereka juga tidak menawarkan sertifikat OV atau EV, jadi saya tidak bisa mendapatkan sertifikat yang sangat bagus dari mereka.
Stephen Ostermiller
1
@SteffenUllrich Wow, saya tidak tahu tentang itu. Saya telah menggunakan StartSSL selama bertahun-tahun sekarang. Saya harap saya tidak harus menemukan penerbit sertifikat baru di minggu depan sebelum sertifikat saya yang ada berakhir.
Stephen Ostermiller
Bergantung pada jumlah subdomain yang Anda miliki, Anda dapat menggunakan Let's Encrypt. Mereka mendukung hingga 100 SAN per sertifikat. Menggunakan GetSSL, Anda bisa mengotomatiskan ini jika Anda secara teratur harus menambah atau menghapus subdomain. Kami melayani sekitar 300 pelanggan dan hanya memiliki 3 sertifikat.
user1771561

Jawaban:

26

Saya punya kabar buruk untuk Anda. Sertifikat StartSSL tidak lagi dipercaya oleh Chrome, Firefox, dan segera browser lainnya , dimulai dengan sertifikat yang baru dikeluarkan terlebih dahulu . StartSSL tidak akan memberi tahu Anda hal ini dan akan dengan senang hati menjual sertifikat baru kepada Anda, melanjutkan pola perilaku mereka yang sangat teduh .

Pada titik ini yang bisa saya rekomendasikan adalah kontrol kerusakan dengan membeli sertifikat wildcard lain (dengan asumsi Anda tidak akan / tidak dapat menggunakan Certbot?) Dari suatu tempat seperti cheapsslsecurity.com . Tidak ada afiliasi, hanya pelanggan sebelumnya dan mereka murah dan mudah digunakan.

Sertifikat baru Anda tidak berguna lagi, dan Anda harus menggantinya.

Tom Brossman
sumber
5
Saya yakin opsi Let's Encrypt dan CertBot harus lebih terlihat dalam jawaban Anda, dengan tautan yang menonjol. Beralih dari satu CA ke yang lain itu adalah kesempatan ideal untuk beralih ke Let's Encrypt, dan dilakukan dengan masalah sertifikat sekali untuk selamanya. Anda tidak perlu lagi meminta sertifikat baru dari tahun ke tahun. Ini akan diperpanjang secara otomatis selama server web Anda hidup.
vog
8

StartSSL mengkonfirmasi bahwa ini adalah karena sertifikat root StartCom yang dicabut sebagian. Mereka berupaya mendapatkan sertifikat root sepenuhnya dipercaya oleh browser lagi. Kedengarannya seperti akhir Februari akan menjadi kerangka waktu paling awal, jadi tidak pada waktunya untuk membantu sertifikat saya yang kedaluwarsa dalam dua minggu. :-(

Kepada: Stephen Ostermiller,

Pesan surat elektronik ini dibuat oleh Personil Administrasi StartCom:

Halo,

Semua sertifikat yang dikeluarkan sebelum 21.10.2016 tidak terpengaruh. Sertifikat yang dikeluarkan setelah 21.10.2016 tidak dipercaya di browser Chrome, Firefox dan Safari.

Dokumen resmi tentang ketidakpercayaan> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Kami bekerja keras pada rencana perbaikan ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ), dan kami melakukan segalanya untuk mendapatkan kembali kepercayaan ASAP. Salah satu langkah yang sudah dilakukan sepenuhnya - https://startssl.com/NewsDetails?date=20160919

Kami memiliki beberapa penundaan dengan solusi sementara tetapi akan memiliki lebih banyak informasi baru di bulan Februari.

Mohon terima permintaan maaf kami atas ketidaknyamanan ini.

Tolong jangan balas ke email ini. Ini adalah alamat email yang tidak dipantau, dan balasan email ini tidak dapat ditanggapi atau dibaca. Jika Anda memiliki pertanyaan atau komentar, cukup klik Di Sini (( https://startssl.com/reply ) untuk mengirim pertanyaan Anda kepada kami, terima kasih.

Salam
Otoritas Sertifikasi StartCom ™

Qualys SSL Labs

Mengenai mengapa Qualys SSL Labs tidak melaporkan kesalahan, saya menemukan utas di forum mereka yang mengatakan bahwa mereka harus membuat kode kasus khusus untuk hard code karena pencabutan itu tidak ditangani dengan cara biasa. Mereka belum melakukannya, tetapi mereka memiliki bug yang terbuka untuk melakukannya .

CA tidak biasa dicabut, jadi tidak ada cara untuk mengetahui hanya melihat OCSP atau CRL untuk sertifikat yang dicabut. StartCom telah menurut Mozilla, Google dan Apple melanggar beberapa aturan, tetapi karena StartCom adalah salah satu otoritas sertifikat terkemuka, tindakan yang terlalu besar untuk hanya mencabut sertifikat CA, jutaan halaman web akan berhenti berfungsi. Mereka memutuskan bahwa mereka akan berhenti mempercayai sertifikat baru yang dikeluarkan oleh CA ini dimulai dengan versi browser baru. Ini diumumkan seperti dua bulan lalu, jadi administrator web punya waktu untuk mendapatkan sertifikat baru dari CA lain.

Ini untuk tidak mempercayai perubahan CA adalah hard-coded di browser versi BARU, jadi untuk memiliki beberapa hasil yang berguna di ssllabs.com, aturan ini juga harus hard-coded dalam pengujian. Bukan solusi yang paling cantik, tapi sepertinya itu satu-satunya.

Firefox

Blog Keamanan Mozilla: Tidak Memercayai WoSign Baru dan Sertifikat StartCom

Chrome

Google dan Chrome Tidak Memercayai Sertifikat WoSign dan StartCom

Chrome secara bertahap menghapus ketidakpercayaan terhadap sertifikat ini dengan rilis browser berikutnya .

  • Chrome 56 tidak mempercayai semua sertifikat yang dikeluarkan setelah 21 Oktober 2016.
  • Chrome 57 juga tidak mempercayai semua sertifikat lama kecuali situs tersebut berada di Alexa satu juta situs teratas.
  • Chrome 58 juga tidak mempercayai semua sertifikat lama kecuali situs tersebut berada di atas 500.000 teratas Alexa.
  • Chrome 61 tidak mempercayai SEMUA sertifikat yang ditandatangani oleh StartSSL dan WoSign

Safari

Apple dan Safari Blocking Trust untuk WoSign CA Gratis Sertifikat SSL G2

Akhir dari StartCom

Saya menerima email berikut dari StartCom tentang mereka mematikan:

Pelanggan yang terhormat,

Seperti yang Anda ketahui, pembuat browser tidak mempercayai StartCom sekitar setahun yang lalu dan karenanya semua sertifikat entitas akhir yang baru dikeluarkan oleh StartCom tidak dipercaya secara default di browser.

Browser memberlakukan beberapa syarat agar sertifikat dapat diterima kembali. Sementara StartCom percaya bahwa kondisi ini telah dipenuhi, tampaknya masih ada kesulitan tertentu yang akan datang. Mempertimbangkan situasi ini, pemilik StartCom telah memutuskan untuk menghentikan perusahaan sebagai Otoritas Sertifikasi sebagaimana disebutkan dalam situs web Startcom.

StartCom akan berhenti mengeluarkan sertifikat baru mulai 1 Januari 2018 dan hanya akan menyediakan layanan CRL dan OCSP selama dua tahun lagi.

StartCom ingin mengucapkan terima kasih atas dukungan Anda selama masa sulit ini.

StartCom menghubungi beberapa CA lain untuk memberi Anda sertifikat yang diperlukan. Jika Anda tidak ingin kami memberikan alternatif kepada Anda, silakan hubungi kami di [email protected]

Harap beri tahu kami jika Anda memerlukan bantuan lebih lanjut dengan proses transisi. Kami sangat mohon maaf atas ketidaknyamanan yang ditimbulkan oleh hal ini.

Salam, Otoritas Sertifikasi StartCom

Stephen Ostermiller
sumber
1
Ini mungkin jawaban yang diterima karena berisi info langsung dari sumber masalahnya. Tidak perlu memilih punyaku karena sudah diposting sebelumnya.
Tom Brossman
1
Saya hanya menambahkan informasi ke jawaban Anda yang sudah sangat bagus. :-) Saya juga ingin memuji @SteffenUllrich yang memposting komentar yang menunjuk saya ke arah yang benar sebelum ada jawaban. Saya awalnya berpikir saya telah menginstal sertifikat salah.
Stephen Ostermiller