Mon certificat HTTPS existant expire bientôt, j'ai donc acheté un nouveau. J'ai du mal à l'installer correctement. J'ai un certificat générique de StartSSL *.deadsea.ostermiller.org
que j'essaie d'installer sur mon serveur Web Apache. Ma configuration Apache pour SSL est:
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt
D'après les instructions que j'ai reçues: https://www.startssl.com/Support?v=21 Je redémarre ensuite apache qui redémarre correctement. J'essaie alors d'accéder à https://test.deadsea.ostermiller.org/ (ce qui devrait donner une erreur 404) dans divers navigateurs et certains fonctionnent et d'autres non.
Curl fait très bien:
$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8
Qualys SSL Labs le note A- et dit qu'il est "de confiance":
Le navigateur Microsoft Edge fait ce qu'il faut:
Chrome donne une erreur NET :: ERR_CERT_AUTHORITY_INVALID:
Firefox donne une erreur SEC_ERROR_REVOKED_CERTIFICATE:
Safari dit qu'il y a un émetteur invalide:
Qu'est-ce qui ne va pas et pourquoi y a-t-il tant de désaccords entre les navigateurs?
la source
Réponses:
J'ai de mauvaises nouvelles pour toi. Les certificats StartSSL ne sont plus approuvés par Chrome, Firefox et bientôt d'autres navigateurs , en commençant par les certificats nouvellement émis en premier . StartSSL ne vous le dira bien sûr pas et se fera un plaisir de vous vendre de nouveaux certificats, poursuivant leur modèle de comportement extrêmement louche .
À ce stade, tout ce que je peux recommander est le contrôle des dommages en achetant un autre certificat générique (en supposant que vous n'utiliserez / ne pourrez pas utiliser Certbot?) Quelque part comme cheappsslsecurity.com . Aucune affiliation, juste un client précédent et ils étaient bon marché et faciles à utiliser.
Votre nouveau certificat n'est plus bon et vous devez le remplacer.
la source
StartSSL a confirmé que cela était dû au certificat racine StartCom partiellement révoqué. Ils travaillent à nouveau à obtenir leur certificat racine entièrement approuvé par les navigateurs. Il semble que la fin du mois de février serait la première période, donc pas à temps pour aider mes certificats qui expirent dans deux semaines. :-(
Labs SSL Qualys
Quant à savoir pourquoi Qualys SSL Labs ne signale pas l'erreur, j'ai trouvé un fil dans leurs forums qui dit qu'ils devraient coder en dur un cas spécifique car la révocation n'a pas été traitée de la manière normale. Ils ne l'ont pas encore fait, mais ils ont un bogue ouvert pour le faire .
Firefox
Blog sur la sécurité de Mozilla: se méfier des nouveaux certificats WoSign et StartCom
Chrome
Google et Chrome se méfient des certificats WoSign et StartCom
Chrome supprime peu à peu ces certificats avec les versions ultérieures du navigateur .
Safari
Apple et Safari Blocking Trust pour WoSign CA Free SSL Certificate G2
La fin de StartCom
J'ai reçu l'e-mail suivant de StartCom à propos de leur fermeture:
la source