O certificado StartSSL fornece SEC_ERROR_REVOKED_CERTIFICATE no Firefox e ERR_CERT_AUTHORITY_INVALID no Chrome

17

Meu certificado HTTPS existente expirará em breve, então comprei um novo. Estou tendo muita dificuldade para instalá-lo corretamente. Eu tenho um certificado curinga do StartSSL para o *.deadsea.ostermiller.orgqual estou tentando instalar no meu servidor Apache. Minha configuração do Apache para SSL é:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Que é das instruções que recebi: https://www.startssl.com/Support?v=21 Em seguida, reinicio o apache, que reinicia bem. Estou tentando acessar https://test.deadsea.ostermiller.org/ (que deve dar um erro 404) em vários navegadores e alguns estão funcionando e outros não.


Curl funciona muito bem:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs classifica A- e diz que é "confiável":


O navegador Microsoft Edge faz a coisa certa:


O Chrome apresenta um erro do NET :: ERR_CERT_AUTHORITY_INVALID:


O Firefox fornece um erro SEC_ERROR_REVOKED_CERTIFICATE:


O Safari diz que há um emissor inválido:


O que está acontecendo de errado e por que há tanta discordância entre navegadores?

Stephen Ostermiller
fonte
1
Não é o 'emissor inválido" uma pista Mas por que pagar por SLL mais agora que LetsEncrypt é de cerca de?
Steve
6
Isso pode ser o resultado de um mau comportamento da Startcom, que levou os principais navegadores a desconfiarem de novos certificados: blog.mozilla.org/security/2016/10/24/…
Steffen Ullrich
1
O @Steve LetsEncrypt não suporta domínios curinga, portanto não funcionará neste caso. Eles também não oferecem certificados OV ou EV, por isso não posso receber certificados muito bons deles.
Stephen Ostermiller
1
@ SteffenUllrich Wow, eu não sabia disso. Estou usando o StartSSL há anos. Espero não precisar encontrar um novo emissor de certificado na próxima semana antes que meus certificados existentes expirem.
Stephen Ostermiller
Dependendo do número de subdomínios que você possui, você pode usar o Let's Encrypt. Eles suportam até 100 SANs por certificado. Usando o GetSSL, você pode automatizar isso se precisar adicionar ou remover subdomínios regularmente. Atendemos cerca de 300 clientes e temos apenas 3 certificados.
user1771561

Respostas:

26

Tenho más notícias para você. Os certificados do StartSSL não são mais confiáveis ​​para Chrome, Firefox e em breve outros navegadores , começando primeiro pelos certificados recém-emitidos . O StartSSL não lhe dirá isso, é claro, e venderá com satisfação novos certificados, continuando seu padrão de comportamento extremamente obscuro .

Neste ponto, tudo o que posso recomendar é o controle de danos comprando outro certificado curinga (supondo que você não possa / não possa usar o Certbot?) Em algum lugar como cheappsslsecurity.com . Sem afiliação, apenas um cliente anterior e eles eram baratos e fáceis de usar.

Seu novo certificado não é mais bom e você deve substituí-lo.

Tom Brossman
fonte
5
Acredito que as opções do Let's Encrypt e CertBot devem ser mais visíveis na sua resposta, com links importantes. Mudando de uma CA para outra, é a chance ideal de mudar para o Let's Encrypt, e ter problemas de certificado de uma vez por todas. Você não precisa mais solicitar ano após ano um novo certificado. Ele será renovado automaticamente enquanto o servidor da web permanecer.
quer
8

O StartSSL confirmou que isso se deve ao certificado raiz StartCom parcialmente revogado. Eles estão trabalhando para obter seu certificado raiz totalmente confiável pelos navegadores novamente. Parece que o final de fevereiro seria o período mais cedo, portanto não a tempo de ajudar meus alunos que expiram em duas semanas. :-(

Para: Stephen Ostermiller,

Esta mensagem de correio eletrônico foi criada pelo pessoal de administração da StartCom:

Olá,

Todos os certificados emitidos antes de 21.10.2016 não são afetados. Os certificados emitidos após 21.10.2016 não são confiáveis ​​nos navegadores Chrome, Firefox e Safari.

Documento oficial sobre desconfiança> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Estamos trabalhando duro no plano de correção ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) e estamos fazendo de tudo para recuperar a confiança o mais rápido possível. Uma das etapas já totalmente concluídas - https://startssl.com/NewsDetails?date=20160919

Temos alguns atrasos com uma solução provisória, mas só teremos mais informações no final de fevereiro.

Por favor, aceite nossas desculpas pelo inconveniente.

Por favor não responda esse email. Este é um endereço de email não monitorado e as respostas a este email não podem ser respondidas ou lidas. Se você tiver alguma pergunta ou comentário, basta clicar aqui (( https://startssl.com/reply ) para enviar sua pergunta para nós, obrigado.

Atenciosamente,
Autoridade de certificação StartCom ™

Qualys SSL Labs

Quanto ao motivo pelo qual o Qualys SSL Labs não relatar o erro, eu encontrei um tópico em seus fóruns que diz que eles teriam que codificar um caso específico para isso, porque a revogação não foi tratada da maneira normal. Eles ainda não o fizeram, mas têm um bug aberto para isso .

Como a CA não foi revogada normalmente, não há como saber apenas olhando para OCSP ou CRL para certificados revogados. Segundo a Mozilla, o Google e a Apple violaram várias regras, mas como a StartCom é uma das principais autoridades de certificação, seria uma ação muito grande simplesmente revogar o certificado da CA, milhões de páginas da web parariam de funcionar. Eles decidiram que deixarão de confiar nos novos certificados emitidos por essa CA, começando com a nova versão do navegador. Como foi anunciado há dois meses, os administradores da Web tiveram tempo de obter novo certificado de outra CA.

Essa alteração de não confiar na CA é codificada em NOVAS versões de navegadores; portanto, para obter alguns resultados úteis em ssllabs.com, essas regras também devem ser codificadas em teste. Não é a solução mais bonita, mas parece a única.

Raposa de fogo

Mozilla Security Blog: Desconfiando de novos certificados WoSign e StartCom

cromada

Google e Chrome desconfiam dos certificados WoSign e StartCom

O Chrome está removendo gradualmente a desconfiança desses certificados nas versões subsequentes do navegador .

  • O Chrome 56 desconfia de todos os certificados emitidos após 21 de outubro de 2016.
  • O Chrome 57 também desconfia de todos os certificados antigos, a menos que o site esteja no top de um milhão de sites do Alexa.
  • O Chrome 58 também desconfia de todos os certificados antigos, a menos que o site esteja entre os 500.000 principais do Alexa.
  • O Chrome 61 desconfia de TODOS os certificados assinados pela StartSSL e WoSign

Safári

Apple e Safari Blocking Trust para WoSign CA Free SSL Certificate G2

O fim do StartCom

Recebi o seguinte email da StartCom sobre o encerramento:

Estimado cliente,

Como você certamente sabe, os fabricantes de navegadores desconfiaram da StartCom há cerca de um ano e, portanto, todos os certificados de entidade final recentemente emitidos pela StartCom não são confiáveis ​​por padrão nos navegadores.

Os navegadores impuseram algumas condições para que os certificados fossem aceitos novamente. Embora a StartCom acredite que essas condições foram cumpridas, parece que ainda existem algumas dificuldades. Considerando essa situação, os proprietários da StartCom decidiram encerrar a empresa como uma Autoridade de Certificação, conforme mencionado no site da Startcom.

A StartCom deixará de emitir novos certificados a partir de 1º de janeiro de 2018 e fornecerá apenas serviços CRL e OCSP por mais dois anos.

A StartCom gostaria de agradecer o seu apoio durante este período difícil.

A StartCom está entrando em contato com outras CAs para fornecer os certificados necessários. Caso você não queira fornecer uma alternativa, entre em contato conosco em [email protected]

Informe-nos se precisar de mais assistência com o processo de transição. Pedimos desculpas pelo inconveniente que isso possa causar.

Atenciosamente, Autoridade de Certificação StartCom

Stephen Ostermiller
fonte
1
Provavelmente, essa deve ser a resposta aceita, pois contém informações diretas da fonte do problema. Não há necessidade de escolher o meu, porque ele foi publicado anteriormente.
Tom Brossman
1
Estou apenas adicionando informações à sua já excelente resposta. :-) Eu também gostaria de creditar a @SteffenUllrich, que postou um comentário, apontando-me na direção certa antes que houvesse respostas. Originalmente, pensei que tinha instalado o certificado errado.
Stephen Ostermiller