web-dev-qa-db-ja.com

StartSSL証明書は、FirefoxでSEC_ERROR_REVOKED_CERTIFICATEを、ChromeでERR_CERT_AUTHORITY_INVALIDを提供します

既存のHTTPS証明書はまもなく期限切れになるため、新しい証明書を購入しました。ただし、適切にインストールするのは非常に困難です。 Apache Webサーバーにインストールしようとしている*.deadsea.ostermiller.orgのStartSSLからのワイルドカード証明書があります。 SSL用のApache設定は次のとおりです。

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/Apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/Apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/Apache2/ssl/2017-startssl-class3-root-bundle.crt

これは、私が入手した指示からです。 https://www.startssl.com/Support?v=21 次に、Apacheを再起動します。その後、さまざまなブラウザで https://test.deadsea.ostermiller.org/ (404エラーが発生するはずです)にアクセスしようとしていますが、一部は機能していますが、一部は機能していません。


Curlは問題ありません:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL LabsはA- と評価し、「信頼できる」と言います。


Microsoft Edgeブラウザーは正しいことを行います。


ChromeはNET :: ERR_CERT_AUTHORITY_INVALIDエラーを返します:


FirefoxはSEC_ERROR_REVOKED_CERTIFICATEエラーを返します:


Safariは、無効な発行者がいると言います。


何が間違っているのか、なぜブラウザ間でそれほど意見の相違があるのか​​?

17

悪い知らせがあります。 StartSSLの証明書は Chrome、Firefox、および間もなく他のブラウザで信頼されなくなった最初に新しく発行された証明書から です。もちろん、StartSSLはこれを通知せず、新しい証明書を喜んで販売し、 extremely shady の動作パターンを継続します。

この時点で、 cheapsslsecurity.com のような場所から別のワイルドカード証明書(Certbotを使用しない/使用できないと想定している場合)を購入することによる損傷制御のみをお勧めします。提携はなく、以前の顧客であり、安価で使いやすいものでした。

新しい証明書はもう役に立たないので、交換する必要があります。

26
Tom Brossman

StartSSLは、これが部分的に失効したStartComルート証明書によるものであることを確認しました。彼らは再びルート証明書をブラウザに完全に信頼させることに取り組んでいます。 2月末が最も早い時間枠になると思われるため、2週間で期限が切れる証明書の作成に間に合わないようです。 :

宛先:Stephen Ostermiller、

この電子メールメッセージは、StartComの管理担当者によって作成されました。

こんにちは、

21.10.2016より前に発行されたすべての証明書は影響を受けません。 2016年10月21日以降に発行された証明書は、Chrome、Firefox、およびSafariブラウザーでは信頼されていません。

不信に関する公式文書> ---(https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

私たちは改善計画( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 )に一生懸命取り組んでおり、できるだけ早く信頼を取り戻すためにあらゆることを行っています。すでに完全に実行されている手順の1つ- https://startssl.com/NewsDetails?date=20160919

暫定的な解決策には多少の遅れがありますが、詳細は2月後半になります。

ご不便をおかけして申し訳ありません。

このメールには返信しないでください。これは監視されていないメールアドレスであり、このメールへの返信には返信したり読んだりすることはできません。質問やコメントがある場合は、ここをクリック(( https://startssl.com/reply )をクリックして質問を送信してください。ありがとうございます。

宜しくお願いします
StartCom™認証局

Qualys SSL Labs

Qualys SSL Labsがエラーを報告しない理由については、失効が通常では処理されなかったため、特定のケースをハードコーディングする必要があることを示す フォーラムのスレッド を見つけました方法。彼らはまだそうしていませんが、 そうするために開いているバグ を持っています。

CAは通常の失効ではなかったため、失効した証明書についてOCSPまたはCRLを見るだけで知る方法はありません。 StartComはMozilla、Google、およびAppleによるといくつかのルールに違反していますが、StartComは主要な認証局の1つであるため、CA証明書を単純に取り消すにはあまりにも大きなアクションになるため、数百万のWebページが機能しなくなります。彼らは、ブラウザの新しいバージョンから、このCAによって新しく発行された証明書の信頼を停止することを決定しました。これは2か月前に発表されたため、Web管理者は他のCAから新しい証明書を取得する時間がありました。

CAの変更を信頼しないことは、ブラウザの新しいバージョンではハードコードされているため、ssllabs.comで有用な結果を得るには、このルールもテストでハードコードする必要があります。最もきれいな解決策ではありませんが、唯一の解決策に見えます。

Firefox

Mozillaセキュリティブログ: 新しいWoSignおよびStartCom証明書の不信

Chrome

GoogleおよびChrome WoSignおよびStartCom証明書の不信

Chromeは、これらの証明書を今後のブラウザリリースで徐々に信頼しないようにしています

  • Chrome 56は、2016年10月21日以降に発行されたすべての証明書を信頼しません。
  • また、Chrome 57は、サイトがAlexaの上位100万サイトにない限り、すべての古い証明書を信頼しません。
  • また、Chrome 58は、サイトがAlexaの上位500,000に入っていない限り、すべての古い証明書を信頼しません。
  • Chrome 61 不信すべてStartSSLおよびWoSignによって署名された証明書

サファリ

WoSign CA Free SSL Certificate G2のAppleおよびSafariブロッキング信頼

StartComの終わり

シャットダウンについて、StartComから次のメールを受け取りました。

お客様各位、

ご存じのとおり、ブラウザーメーカーは1年ほど前にStartComを信頼していなかったため、StartComによって新たに発行されたすべてのエンドエンティティ証明書は、ブラウザーではデフォルトで信頼されていません。

ブラウザは、証明書が再受理されるためにいくつかの条件を課しました。 StartComはこれらの条件が満たされていると考えていますが、今後も一定の困難が残っているようです。この状況を考慮して、StartComの所有者は、StartcomのWebサイトで言及されているように、認証機関として会社を終了することにしました。

StartComは、2018年1月1日から新しい証明書の発行を停止し、さらに2年間CRLおよびOCSPサービスのみを提供します。

StartComは、この困難な時期にご支援いただきありがとうございます。

StartComは、他のいくつかのCAに連絡して、必要な証明書を提供しています。代替手段を提供したくない場合は、certmaster @ startcomca.comまでご連絡ください。

移行プロセスについてさらにサポートが必要な場合はお知らせください。この問題によりご迷惑をおかけしましたことを深くおizeび申し上げます。

よろしく、StartCom証明機関

8