*.deadsea.ostermiller.org
的通配符证书,试图在我的Apache Web服务器上安装它。我对SSL的Apache配置如下:重新启动apache可以正常重启。然后,我尝试在各种浏览器中访问https://test.deadsea.ostermiller.org/(应该会出现404错误),有些正在工作,有些却没有。卷曲效果很好:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt
Qualys SSL Labs将其评为A-,并说它是“受信任的”:
Microsoft Edge浏览器做正确的事情:
Chrome浏览器出现NET :: ERR_CERT_AUTHORITY_INVALID错误:
Firefox出现SEC_ERROR_REVOKED_CERTIFICATE错误:
Safari指出存在无效的发行者:
出了什么问题,为什么浏览器之间存在如此多的分歧?
#1 楼
我有个坏消息要给你。 Chrome,Firefox和其他浏览器不再信任StartSSL的证书,首先是新颁发的证书。 StartSSL当然不会告诉您这一点,并且会很乐意向您出售新证书,并继续其极其可疑的行为方式。目前,我所建议的是通过购买另一个通配符证书来控制损害(假设您不会/不能从cheapsslsecurity.com之类的地方使用Certbot?)。没有隶属关系,只有以前的客户,它们便宜且易于使用。
您的新证书不再有用,必须替换它。
评论
我相信,让我们加密和CertBot的选项应该在您的答案中更加明显,并带有明显的链接。从一个CA切换到另一个CA就是切换到Let's Encrypt的理想机会,并且可以一劳永逸地完成证书颁发。您不再需要年复一年地要求新证书。只要您的网络服务器存在,它就会自动更新。
–vog
17-2-2在14:29
#2 楼
StartSSL确认这是由于部分撤销了StartCom根证书。他们正在努力使根证书再次被浏览器完全信任。听起来好像最早的时间是2月底,所以没有及时帮助我的证书在两周后到期。 :-(致:Stephen Ostermiller,
该电子邮件由StartCom的管理人员创建:
您好,
2016年10月21日之前颁发的所有证书均不受影响。Chrome,Firefox和Safari浏览器不信任2016年10月21日之后颁发的证书。
有关不信任的官方文档> https:/ /blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
我们正在努力制定修复计划(https://bugzilla.mozilla .org / show_bug.cgi?id = 1311832),我们正在尽一切努力尽快恢复信任。已经完全完成的步骤之一-https://startssl.com/NewsDetails?date=20160919
我们暂时无法提供临时解决方案,但仅在2月下旬会有更多信息。
不便之处,请接受我们的歉意。
请不要回复此电子邮件。这是一个不受监视的电子邮件地址,
如果您有任何问题或评论,请单击此处((https://startssl.com/reply)将您的问题发送给我们,谢谢。
最好的问候
StartCom™证书颁发机构
Qualys SSL Labs
关于Qualys SSL Labs不报告错误的原因,我在他们的论坛中找到一个线程,说他们必须为此硬编码特定案例,因为吊销不是以正常方式处理的。他们还没有这样做,但是有一个开放的bug。
CA并非被普通吊销,因此仅凭OCSP或CRL获得吊销的证书就无法知道。根据Mozilla,Google和Apple的说法,StartCom违反了几项规则,但是由于StartCom是领先的证书颁发机构之一,因此仅撤销CA证书将是一个太大的动作,数百万个网页将无法正常工作。他们决定从新版本的浏览器开始,停止通过此CA信任新颁发的证书。这是两个月前宣布的,所以Web管理员已经有时间从其他CA获得新证书。
不信任CA的更改是硬编码在新版本的浏览器中的,因此为了为了在ssllabs.com上获得一些有用的结果,该规则也应该在测试中进行硬编码。不是最漂亮的解决方案,但看起来是唯一的解决方案。
Firefox
Mozilla安全博客:不信任新的WoSign和StartCom证书
Chrome
Google和Chrome不信任WoSign和StartCom证书
Chrome将逐步取消对这些证书与后续浏览器版本的信任。
Chrome 56不信任10月21日之后发布的所有证书, 2016年。
Chrome 57也不信任所有旧证书,除非该站点位于Alexa排名前100万的站点中。除非该站点位于Alexa排名前50万的站点中。
Chrome 61不信任由StartSSL和WoSign签名的所有证书
Safari
Apple和Safari阻止WoSign CA免费SSL CA G2 SSL证书
> StartCom的结束
我收到了StartCom发出的以下有关其关闭的电子邮件:
尊敬的客户,
肯定知道,浏览器制造商不信任StartCom ar大约一年前,因此默认情况下在浏览器中不信任StartCom新颁发的所有最终实体证书。
浏览器强加了一些条件,以便重新接受证书。虽然StartCom相信已经满足了这些条件,但似乎仍然存在某些困难。考虑到这种情况,StartCom的所有者决定终止其作为Startcom网站上提到的证书颁发机构的权限。
StartCom将自2018年1月1日起停止颁发新证书,并将仅提供CRL和OCSP服务已经两年了。
StartCom感谢您在此困难时期的支持。
StartCom正在与其他一些CA联系,以向您提供所需的证书。如果您不希望我们为您提供替代方案,请通过certmaster@startcomca.com与我们联系。
如果您在过渡过程中需要任何进一步的帮助,请告知我们。对于由此带来的任何不便,我们深表歉意。
最好的问候,
StartCom证书颁发机构
评论
这可能是可接受的答案,因为它包含直接来自问题源的信息。无需选择我的,因为它是较早发布的。
–汤姆·布鲁斯曼
17年2月2日在15:32
我只是将信息添加到您已经很好的答案中。 :-)我还要感谢@SteffenUllrich,他发表了一条评论,指出我在没有任何答案之前就朝着正确的方向前进。我最初以为我安装了错误的证书。
–斯蒂芬·奥斯特米勒(Stephen Ostermiller)
17-2-2在15:32
评论
“无效的签发者”不是一个线索吗?但是,既然LetsEncrypt出现了,为什么还要再为SLL付费呢?这可能是Startcom行为不佳的结果,该行为导致主要浏览器对新证书不信任它:blog.mozilla.org/security/2016/10/24/…
@Steve LetsEncrypt不支持通配符域,因此在这种情况下将不起作用。他们也不提供OV或EV证书,因此我不能从他们那里获得很好的证书。
@SteffenUllrich哇,我对此一无所知。我已经使用StartSSL多年了。我希望我现有证书过期之前的下一周不必找到新的证书发行者。
根据您拥有的子域数量,可以使用“让我们加密”。每个证书最多支持100个SAN。如果需要定期添加或删除子域,则可以使用GetSSL将其自动化。我们为大约300个客户提供服务,并且只有3个证书。