Meu certificado HTTPS existente expirará em breve, então comprei um novo. Estou tendo muita dificuldade para instalá-lo corretamente. Eu tenho um certificado curinga do StartSSL para o *.deadsea.ostermiller.org
qual estou tentando instalar no meu servidor Apache. Minha configuração do Apache para SSL é:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt
Que é das instruções que recebi: https://www.startssl.com/Support?v=21 Em seguida, reinicio o apache, que reinicia bem. Estou tentando acessar https://test.deadsea.ostermiller.org/ (que deve dar um erro 404) em vários navegadores e alguns estão funcionando e outros não.
Curl funciona muito bem:
$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8
Qualys SSL Labs classifica A- e diz que é "confiável":
O navegador Microsoft Edge faz a coisa certa:
O Chrome apresenta um erro do NET :: ERR_CERT_AUTHORITY_INVALID:
O Firefox fornece um erro SEC_ERROR_REVOKED_CERTIFICATE:
O Safari diz que há um emissor inválido:
O que está acontecendo de errado e por que há tanta discordância entre navegadores?
fonte
Respostas:
Tenho más notícias para você. Os certificados do StartSSL não são mais confiáveis para Chrome, Firefox e em breve outros navegadores , começando primeiro pelos certificados recém-emitidos . O StartSSL não lhe dirá isso, é claro, e venderá com satisfação novos certificados, continuando seu padrão de comportamento extremamente obscuro .
Neste ponto, tudo o que posso recomendar é o controle de danos comprando outro certificado curinga (supondo que você não possa / não possa usar o Certbot?) Em algum lugar como cheappsslsecurity.com . Sem afiliação, apenas um cliente anterior e eles eram baratos e fáceis de usar.
Seu novo certificado não é mais bom e você deve substituí-lo.
fonte
O StartSSL confirmou que isso se deve ao certificado raiz StartCom parcialmente revogado. Eles estão trabalhando para obter seu certificado raiz totalmente confiável pelos navegadores novamente. Parece que o final de fevereiro seria o período mais cedo, portanto não a tempo de ajudar meus alunos que expiram em duas semanas. :-(
Qualys SSL Labs
Quanto ao motivo pelo qual o Qualys SSL Labs não relatar o erro, eu encontrei um tópico em seus fóruns que diz que eles teriam que codificar um caso específico para isso, porque a revogação não foi tratada da maneira normal. Eles ainda não o fizeram, mas têm um bug aberto para isso .
Raposa de fogo
Mozilla Security Blog: Desconfiando de novos certificados WoSign e StartCom
cromada
Google e Chrome desconfiam dos certificados WoSign e StartCom
O Chrome está removendo gradualmente a desconfiança desses certificados nas versões subsequentes do navegador .
Safári
Apple e Safari Blocking Trust para WoSign CA Free SSL Certificate G2
O fim do StartCom
Recebi o seguinte email da StartCom sobre o encerramento:
fonte