Le certificat StartSSL donne SEC_ERROR_REVOKED_CERTIFICATE dans Firefox et ERR_CERT_AUTHORITY_INVALID dans Chrome

17

Mon certificat HTTPS existant expire bientôt, j'ai donc acheté un nouveau. J'ai du mal à l'installer correctement. J'ai un certificat générique de StartSSL *.deadsea.ostermiller.orgque j'essaie d'installer sur mon serveur Web Apache. Ma configuration Apache pour SSL est:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

D'après les instructions que j'ai reçues: https://www.startssl.com/Support?v=21 Je redémarre ensuite apache qui redémarre correctement. J'essaie alors d'accéder à https://test.deadsea.ostermiller.org/ (ce qui devrait donner une erreur 404) dans divers navigateurs et certains fonctionnent et d'autres non.


Curl fait très bien:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs le note A- et dit qu'il est "de confiance":


Le navigateur Microsoft Edge fait ce qu'il faut:


Chrome donne une erreur NET :: ERR_CERT_AUTHORITY_INVALID:


Firefox donne une erreur SEC_ERROR_REVOKED_CERTIFICATE:


Safari dit qu'il y a un émetteur invalide:


Qu'est-ce qui ne va pas et pourquoi y a-t-il tant de désaccords entre les navigateurs?

Stephen Ostermiller
la source
1
L'émetteur invalide n'est-il pas un indice? Mais pourquoi payer pour SLL maintenant que LetsEncrypt est disponible?
Steve
6
Cela pourrait être le résultat d'un mauvais comportement de Startcom qui a poussé les principaux navigateurs à se méfier de nouveaux certificats: blog.mozilla.org/security/2016/10/24/…
Steffen Ullrich
1
@Steve LetsEncrypt ne prend pas en charge les domaines génériques, donc cela ne fonctionnera pas dans ce cas. Ils n'offrent pas non plus de certificats OV ou EV, donc je ne peux pas obtenir de très bons certificats d'eux.
Stephen Ostermiller
1
@SteffenUllrich Wow, je n'en savais rien. J'utilise StartSSL depuis des années maintenant. J'espère que je n'aurai pas à trouver un nouvel émetteur de certificats dans la semaine prochaine avant l'expiration de mes certificats existants.
Stephen Ostermiller
Selon le nombre de sous-domaines dont vous disposez, vous pouvez utiliser Let's Encrypt. Ils prennent en charge jusqu'à 100 SAN par certificat. En utilisant GetSSL, vous pouvez automatiser cela si vous devez régulièrement ajouter ou supprimer des sous-domaines. Nous servons environ 300 clients et n'avons que 3 certificats.
user1771561

Réponses:

26

J'ai de mauvaises nouvelles pour toi. Les certificats StartSSL ne sont plus approuvés par Chrome, Firefox et bientôt d'autres navigateurs , en commençant par les certificats nouvellement émis en premier . StartSSL ne vous le dira bien sûr pas et se fera un plaisir de vous vendre de nouveaux certificats, poursuivant leur modèle de comportement extrêmement louche .

À ce stade, tout ce que je peux recommander est le contrôle des dommages en achetant un autre certificat générique (en supposant que vous n'utiliserez / ne pourrez pas utiliser Certbot?) Quelque part comme cheappsslsecurity.com . Aucune affiliation, juste un client précédent et ils étaient bon marché et faciles à utiliser.

Votre nouveau certificat n'est plus bon et vous devez le remplacer.

Tom Brossman
la source
5
Je pense que les options de Let's Encrypt et CertBot devraient être plus visibles dans votre réponse, avec des liens importants. Passer d'une autorité de certification à une autre est l'occasion idéale de passer à Let's Encrypt, et d'éviter les problèmes de certificats une fois pour toutes. Vous n'avez plus à demander année après année un nouveau certificat. Il sera renouvelé automatiquement aussi longtemps que votre serveur Web existera.
vog
8

StartSSL a confirmé que cela était dû au certificat racine StartCom partiellement révoqué. Ils travaillent à nouveau à obtenir leur certificat racine entièrement approuvé par les navigateurs. Il semble que la fin du mois de février serait la première période, donc pas à temps pour aider mes certificats qui expirent dans deux semaines. :-(

À: Stephen Ostermiller,

Ce message électronique a été créé par le personnel administratif de StartCom:

Bonjour,

Tous les certificats délivrés avant le 21.10.2016 ne sont pas affectés. Les certificats émis après le 21.10.2016 ne sont pas fiables dans les navigateurs Chrome, Firefox et Safari.

Document officiel sur la méfiance> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Nous travaillons dur sur le plan de correction ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ), et nous faisons tout pour regagner la confiance dès que possible. Une des étapes déjà entièrement accomplie - https://startssl.com/NewsDetails?date=20160919

Nous avons quelques retards avec une solution provisoire, mais nous n'aurons plus d'informations que plus tard en février.

Veuillez accepter nos excuses pour la gêne occasionnée.

S'il vous plait ne répondez pas à cet email. Il s'agit d'une adresse e-mail non surveillée et les réponses à cet e-mail ne peuvent pas être répondues ou lues. Si vous avez des questions ou des commentaires, cliquez simplement ici (( https://startssl.com/reply ) pour nous envoyer votre question, merci.

Cordialement,
Autorité de certification StartCom ™

Labs SSL Qualys

Quant à savoir pourquoi Qualys SSL Labs ne signale pas l'erreur, j'ai trouvé un fil dans leurs forums qui dit qu'ils devraient coder en dur un cas spécifique car la révocation n'a pas été traitée de la manière normale. Ils ne l'ont pas encore fait, mais ils ont un bogue ouvert pour le faire .

L'autorité de certification n'a pas été révoquée ordinaire, il n'y a donc aucun moyen de savoir simplement en regardant OCSP ou CRL pour les certificats révoqués. Selon Mozilla, Google et Apple ont enfreint plusieurs règles de StartCom, mais parce que StartCom est l'une des principales autorités de certification, il serait tout simplement trop important de simplement révoquer le certificat de l'autorité de certification, des millions de pages Web cesseraient de fonctionner. Ils ont décidé de ne plus faire confiance aux nouveaux certificats émis par cette autorité de certification à partir de la nouvelle version du navigateur. Cela a été annoncé il y a deux mois, les administrateurs Web ont donc eu le temps d'obtenir un nouveau certificat d'une autre autorité de certification.

Cela pour ne pas faire confiance au changement de CA est codé en dur dans les NOUVELLES versions de navigateurs, donc afin d'avoir des résultats utiles sur ssllabs.com, ces règles doivent également être codées en dur dans le test. Pas la solution la plus jolie, mais elle semble la seule.

Firefox

Blog sur la sécurité de Mozilla: se méfier des nouveaux certificats WoSign et StartCom

Chrome

Google et Chrome se méfient des certificats WoSign et StartCom

Chrome supprime peu à peu ces certificats avec les versions ultérieures du navigateur .

  • Chrome 56 se méfie de tous les certificats émis après le 21 octobre 2016.
  • Chrome 57 se méfie également de tous les anciens certificats, sauf si le site se trouve dans le million de sites Alexa.
  • Chrome 58 se méfie également de tous les anciens certificats, sauf si le site figure dans le top 500 000 d'Alexa.
  • Chrome 61 se méfie de TOUS les certificats signés par StartSSL et WoSign

Safari

Apple et Safari Blocking Trust pour WoSign CA Free SSL Certificate G2

La fin de StartCom

J'ai reçu l'e-mail suivant de StartCom à propos de leur fermeture:

Cher client,

Comme vous le savez sûrement, les fabricants de navigateurs se sont méfiés de StartCom il y a environ un an et, par conséquent, tous les certificats d'entité finale nouvellement émis par StartCom ne sont pas approuvés par défaut dans les navigateurs.

Les navigateurs ont imposé certaines conditions pour que les certificats soient à nouveau acceptés. Bien que StartCom pense que ces conditions sont remplies, il semble que certaines difficultés se présentent encore. Compte tenu de cette situation, les propriétaires de StartCom ont décidé de résilier l'entreprise en tant qu'autorité de certification, comme indiqué sur le site Web de Startcom.

StartCom cessera d'émettre de nouveaux certificats à partir du 1er janvier 2018 et ne fournira que les services CRL et OCSP pendant deux ans de plus.

StartCom tient à vous remercier pour votre soutien durant cette période difficile.

StartCom contacte d'autres autorités de certification pour vous fournir les certificats nécessaires. Si vous ne souhaitez pas que nous vous fournissions une alternative, veuillez nous contacter à [email protected]

Veuillez nous faire savoir si vous avez besoin d'aide supplémentaire pour le processus de transition. Nous nous excusons profondément pour tout inconvénient que cela pourrait causer.

Cordialement, Autorité de Certification StartCom

Stephen Ostermiller
la source
1
Cela devrait probablement être la réponse acceptée car elle contient des informations provenant directement de la source du problème. Pas besoin de choisir le mien car il a été posté plus tôt.
Tom Brossman
1
J'ajoute simplement des informations à votre excellente réponse. :-) Je voudrais également remercier @SteffenUllrich qui a posté un commentaire me pointant dans la bonne direction avant d'avoir des réponses. Au départ, je pensais avoir mal installé le certificat.
Stephen Ostermiller