El certificado StartSSL proporciona SEC_ERROR_REVOKED_CERTIFICATE en Firefox y ERR_CERT_AUTHORITY_INVALID en Chrome

17

Mi certificado HTTPS existente caducará pronto, así que compré uno nuevo. Sin embargo, estoy teniendo dificultades para instalarlo correctamente. Tengo un certificado comodín de StartSSL para el *.deadsea.ostermiller.orgque estoy intentando instalar en mi servidor web Apache. Mi configuración de Apache para SSL es:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

Que es de las instrucciones que obtuve de: https://www.startssl.com/Support?v=21 Luego reinicio apache que se reinicia bien. Luego estoy tratando de acceder a https://test.deadsea.ostermiller.org/ (que debería dar un error 404) en varios navegadores y algunos funcionan y otros no.


Curl funciona bien:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs lo califica A- y dice que es "confiable":


El navegador Microsoft Edge hace lo correcto:


Chrome da un error NET :: ERR_CERT_AUTHORITY_INVALID:


Firefox da un error SEC_ERROR_REVOKED_CERTIFICATE:


Safari dice que hay un emisor no válido:


¿Qué está yendo mal y por qué hay tanto desacuerdo entre los navegadores?

Stephen Ostermiller
fuente
1
No es el 'emisor válido" pistas Sin embargo, ¿por qué pagar por SLL más ahora que es de alrededor de LetsEncrypt??
Steve
66
Esto podría ser el resultado de un mal comportamiento de Startcom que provocó que los principales navegadores desconfiaran de los nuevos certificados: blog.mozilla.org/security/2016/10/24/…
Steffen Ullrich
1
@Steve LetsEncrypt no admite dominios comodín, por lo que no funcionará en este caso. Tampoco ofrecen certificados OV o EV, por lo que no puedo obtener muy buenos certificados de ellos.
Stephen Ostermiller
1
@SteffenUllrich Wow, no sabía sobre eso. Llevo años usando StartSSL. Espero no tener que encontrar un nuevo emisor de certificados la próxima semana antes de que caduquen mis certificados existentes.
Stephen Ostermiller
Dependiendo de la cantidad de subdominios que tenga, puede usar Let's Encrypt. Admiten hasta 100 SAN por certificado. Con GetSSL, puede automatizar esto si regularmente tiene que agregar o eliminar subdominios. Servimos a unos 300 clientes y solo tenemos 3 certificados.
user1771561

Respuestas:

26

Tengo algunas malas noticias para ti. Chrome, Firefox y pronto otros navegadores ya no confían en los certificados de StartSSL , comenzando primero por los certificados recién emitidos . StartSSL no le dirá esto, por supuesto, y felizmente le venderá nuevos certificados, continuando con su patrón de comportamiento extremadamente sombrío .

En este punto, todo lo que puedo recomendar es el control de daños comprando otro certificado comodín (suponiendo que no pueda / no pueda usar Certbot?) En algún lugar como cheapsslsecurity.com . Sin afiliación, solo un cliente anterior y eran baratos y fáciles de usar.

Su nuevo certificado ya no es válido y debe reemplazarlo.

Tom Brossman
fuente
55
Creo que las opciones de Let's Encrypt y CertBot deberían ser más visibles en su respuesta, con enlaces destacados. Cambiar de una CA a otra es la oportunidad ideal de cambiar a Let's Encrypt, y terminar con los problemas de certificado de una vez por todas. Ya no tiene que solicitar año tras año un nuevo certificado. Se renovará automáticamente mientras viva su servidor web.
vog
8

StartSSL confirmó que esto se debe al certificado raíz de StartCom parcialmente revocado. Están trabajando para que los navegadores vuelvan a confiar plenamente en su certificado raíz. Parece que a finales de febrero sería el primer período de tiempo, por lo que no a tiempo para ayudar a mis certificados que vencen en dos semanas. :-(

Para: Stephen Ostermiller,

Este mensaje de correo electrónico fue creado por el personal de administración de StartCom:

Hola,

Todos los certificados emitidos antes del 21.10.2016 no se ven afectados. Los certificados emitidos después del 21.10.2016 se desconfían de los navegadores Chrome, Firefox y Safari.

Documento oficial sobre desconfianza> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Estamos trabajando arduamente en el plan de remediación ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ), y estamos haciendo todo lo posible para recuperar la confianza lo antes posible. Uno de los pasos ya realizados: https://startssl.com/NewsDetails?date=20160919

Tenemos algunos retrasos con una solución provisional, pero tendremos más información solo más adelante en febrero.

Acepte nuestras disculpas por las molestias.

Por favor no responder a este email. Esta es una dirección de correo electrónico no supervisada, y las respuestas a este correo electrónico no se pueden responder ni leer. Si tiene alguna pregunta o comentario, simplemente haga clic aquí (( https://startssl.com/reply ) para enviarnos su pregunta, gracias.

Saludos
cordiales Autoridad de certificación StartCom ™

Qualys SSL Labs

En cuanto a por qué Qualys SSL Labs no informa el error, encontré un hilo en sus foros que dice que tendrían que codificar un caso específico porque la revocación no se manejó de la manera normal. Todavía no lo han hecho, pero tienen un error abierto para hacerlo .

CA no fue revocado ordinariamente, por lo que no hay forma de saber simplemente mirando a OCSP o CRL los certificados revocados. StartCom, según Mozilla, Google y Apple, violó varias reglas, pero debido a que StartCom es una de las principales autoridades de certificación, sería una acción demasiado grande simplemente revocar el certificado de CA, millones de páginas web dejarían de funcionar. Decidieron que dejarán de confiar en los nuevos certificados emitidos por esta CA a partir de la nueva versión del navegador. Esto se anunció hace dos meses, por lo que los administradores web han tenido tiempo de obtener un nuevo certificado de otra CA.

Esto para no confiar en el cambio de CA está codificado en NUEVAS versiones de navegadores, por lo que para tener algunos resultados útiles en ssllabs.com, estas reglas también deben codificarse en la prueba. No es la solución más bonita, pero parece la única.

Firefox

Blog de seguridad de Mozilla: desconfiando de los nuevos certificados WoSign y StartCom

Cromo

Google y Chrome desconfían de los certificados WoSign y StartCom

Chrome está eliminando gradualmente la desconfianza de estos certificados con versiones posteriores del navegador .

  • Chrome 56 desconfía de todos los certificados emitidos después del 21 de octubre de 2016.
  • Chrome 57 también desconfía de todos los certificados antiguos, a menos que el sitio se encuentre entre los principales sitios de Alexa.
  • Chrome 58 también desconfía de todos los certificados antiguos a menos que el sitio esté en el top 500,000 de Alexa.
  • Chrome 61 desconfía de TODOS los certificados firmados por StartSSL y WoSign

Safari

Apple y Safari Blocking Trust para WoSign CA Free SSL Certificate G2

El fin de StartCom

Recibí el siguiente correo electrónico de StartCom sobre su cierre:

Estimado cliente,

Como seguramente sabrá, los fabricantes de navegadores desconfiaron de StartCom hace aproximadamente un año y, por lo tanto, todos los certificados de entidad final recién emitidos por StartCom no son confiables por defecto en los navegadores.

Los navegadores impusieron algunas condiciones para que los certificados fueran aceptados nuevamente. Si bien StartCom cree que se han cumplido estas condiciones, parece que todavía hay ciertas dificultades por venir. Considerando esta situación, los propietarios de StartCom han decidido terminar la compañía como una Autoridad de Certificación como se menciona en el sitio web de Startcom.

StartCom dejará de emitir nuevos certificados a partir del 1 de enero de 2018 y proporcionará solo servicios CRL y OCSP por dos años más.

StartCom quisiera agradecerle por su apoyo durante este momento difícil.

StartCom se está contactando con otras CA para proporcionarle los certificados necesarios. En caso de que no desee que le brindemos una alternativa, contáctenos en [email protected]

Háganos saber si necesita más ayuda con el proceso de transición. Pedimos disculpas por cualquier inconveniente que esto pueda causar.

Saludos cordiales, Autoridad de certificación de StartCom

Stephen Ostermiller
fuente
1
Probablemente esta debería ser la respuesta aceptada, ya que contiene información directa de la fuente del problema. No es necesario elegir el mío porque se publicó anteriormente.
Tom Brossman
1
Solo estoy agregando información a su excelente respuesta. :-) También me gustaría dar crédito a @SteffenUllrich, quien publicó un comentario que me señala en la dirección correcta antes de que hubiera respuestas. Originalmente pensé que había instalado el certificado incorrectamente.
Stephen Ostermiller