我现有的HTTPS证书即将过期,因此我购买了一个新证书。我很难正确安装它。我从StartSSL获得*.deadsea.ostermiller.org的通配符证书,试图在我的Apache Web服务器上安装它。我对SSL的Apache配置如下:重新启动apache可以正常重启。然后,我尝试在各种浏览器中访问https://test.deadsea.ostermiller.org/(应该会出现404错误),有些正在工作,有些却没有。


卷曲效果很好:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt



Qualys SSL Labs将其评为A-,并说它是“受信任的”:


Microsoft Edge浏览器做正确的事情:




Chrome浏览器出现NET :: ERR_CERT_AUTHORITY_INVALID错误:




Firefox出现SEC_ERROR_REVOKED_CERTIFICATE错误:




Safari指出存在无效的发行者:




出了什么问题,为什么浏览器之间存在如此多的分歧?

评论

“无效的签发者”不是一个线索吗?但是,既然LetsEncrypt出现了,为什么还要再为SLL付费呢?

这可能是Startcom行为不佳的结果,该行为导致主要浏览器对新证书不信任它:blog.mozilla.org/security/2016/10/24/…

@Steve LetsEncrypt不支持通配符域,因此在这种情况下将不起作用。他们也不提供OV或EV证书,因此我不能从他们那里获得很好的证书。

@SteffenUllrich哇,我对此一无所知。我已经使用StartSSL多年了。我希望我现有证书过期之前的下一周不必找到新的证书发行者。

根据您拥有的子域数量,可以使用“让我们加密”。每个证书最多支持100个SAN。如果需要定期添加或删除子域,则可以使用GetSSL将其自动化。我们为大约300个客户提供服务,并且只有3个证书。

#1 楼

我有个坏消息要给你。 Chrome,Firefox和其他浏览器不再信任StartSSL的证书,首先是新颁发的证书。 StartSSL当然不会告诉您这一点,并且会很乐意向您出售新证书,并继续其极其可疑的行为方式。

目前,我所建议的是通过购买另一个通配符证书来控制损害(假设您不会/不能从cheapsslsecurity.com之类的地方使用Certbot?)。没有隶属关系,只有以前的客户,它们便宜且易于使用。

您的新证书不再有用,必须替换它。

评论


我相信,让我们加密和CertBot的选项应该在您的答案中更加明显,并带有明显的链接。从一个CA切换到另一个CA就是切换到Let's Encrypt的理想机会,并且可以一劳永逸地完成证书颁发。您不再需要年复一年地要求新证书。只要您的网络服务器存在,它就会自动更新。

–vog
17-2-2在14:29



#2 楼

StartSSL确认这是由于部分撤销了StartCom根证书。他们正在努力使根证书再次被浏览器完全信任。听起来好像最早的时间是2月底,所以没有及时帮助我的证书在两周后到期。 :-(


致:Stephen Ostermiller,

该电子邮件由StartCom的管理人员创建:

您好,

2016年10月21日之前颁发的所有证书均不受影响。Chrome,Firefox和Safari浏览器不信任2016年10月21日之后颁发的证书。

有关不信任的官方文档> https:/ /blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

我们正在努力制定修复计划(https://bugzilla.mozilla .org / show_bug.cgi?id = 1311832),我们正在尽一切努力尽快恢复信任。已经完全完成的步骤之一-https://startssl.com/NewsDetails?date=20160919

我们暂时无法提供临时解决方案,但仅在2月下旬会有更多信息。

不便之处,请接受我们的歉意。

请不要回复此电子邮件。这是一个不受监视的电子邮件地址,
如果您有任何问题或评论,请单击此处((https://startssl.com/reply)将您的问题发送给我们,谢谢。

最好的问候
StartCom™证书颁发机构


Qualys SSL Labs

关于Qualys SSL Labs不报告错误的原因,我在他们的论坛中找到一个线程,说他们必须为此硬编码特定案例,因为吊销不是以正常方式处理的。他们还没有这样做,但是有一个开放的bug。


CA并非被普通吊销,因此仅凭OCSP或CRL获得吊销的证书就无法知道。根据Mozilla,Google和Apple的说法,StartCom违反了几项规则,但是由于StartCom是领先的证书颁发机构之一,因此仅撤销CA证书将是一个太大的动作,数百万个网页将无法正常工作。他们决定从新版本的浏览器开始,停止通过此CA信任新颁发的证书。这是两个月前宣布的,所以Web管理员已经有时间从其他CA获得新证书。

不信任CA的更改是硬编码在新版本的浏览器中的,因此为了为了在ssllabs.com上获得一些有用的结果,该规则也应该在测试中进行硬编码。不是最漂亮的解决方案,但看起来是唯一的解决方案。


Firefox

Mozilla安全博客:不信任新的WoSign和StartCom证书

Chrome


Google和Chrome不信任WoSign和StartCom证书

Chrome将逐步取消对这些证书与后续浏览器版本的信任。


Chrome 56不信任10月21日之后发布的所有证书, 2016年。
Chrome 57也不信任所有旧证书,除非该站点位于Alexa排名前100万的站点中。除非该站点位于Alexa排名前50万的站点中。
Chrome 61不信任由StartSSL和WoSign签名的所有证书


Safari

Apple和Safari阻止WoSign CA免费SSL CA G2 SSL证书

> StartCom的结束

我收到了StartCom发出的以下有关其关闭的电子邮件:


尊敬的客户,

肯定知道,浏览器制造商不信任StartCom ar大约一年前,因此默认情况下在浏览器中不信任StartCom新颁发的所有最终实体证书。

浏览器强加了一些条件,以便重新接受证书。虽然StartCom相信已经满足了这些条件,但似乎仍然存在某些困难。考虑到这种情况,StartCom的所有者决定终止其作为Startcom网站上提到的证书颁发机构的权限。

StartCom将自2018年1月1日起停止颁发新证书,并将仅提供CRL和OCSP服务已经两年了。

StartCom感谢您在此困难时期的支持。

StartCom正在与其他一些CA联系,以向您提供所需的证书。如果您不希望我们为您提供替代方案,请通过certmaster@startcomca.com与我们联系。

如果您在过渡过程中需要任何进一步的帮助,请告知我们。对于由此带来的任何不便,我们深表歉意。

最好的问候,
StartCom证书颁发机构


评论


这可能是可接受的答案,因为它包含直接来自问题源的信息。无需选择我的,因为它是较早发布的。

–汤姆·布鲁斯曼
17年2月2日在15:32

我只是将信息添加到您已经很好的答案中。 :-)我还要感谢@SteffenUllrich,他发表了一条评论,指出我在没有任何答案之前就朝着正确的方向前进。我最初以为我安装了错误的证书。

–斯蒂芬·奥斯特米勒(Stephen Ostermiller)
17-2-2在15:32