web-dev-qa-db-fra.com

Le certificat StartSSL donne SEC_ERROR_REVOKED_CERTIFICATE dans Firefox et ERR_CERT_AUTHORITY_INVALID dans Chrome

Mon certificat HTTPS existant expirant bientôt, j'en ai acheté un nouveau. J'ai du mal à l'installer correctement cependant. J'ai un certificat générique de StartSSL pour *.deadsea.ostermiller.org que j'essaie d'installer sur mon serveur Web Apache. Ma configuration Apache pour SSL est la suivante:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/Apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/Apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/Apache2/ssl/2017-startssl-class3-root-bundle.crt

Ce sont les instructions que j'ai obtenues de: https://www.startssl.com/Support?v=21 Je redémarre ensuite Apache, qui redémarre correctement. J'essaie ensuite d'accéder à https://test.deadsea.ostermiller.org/ (ce qui devrait donner une erreur 404) dans divers navigateurs. Certains fonctionnent et d'autres pas.

Curl fait très bien:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL Labs le note A - et dit qu'il est "digne de confiance":

Le navigateur Microsoft Edge fait le bon choix:

Chrome génère une erreur NET :: ERR_CERT_AUTHORITY_INVALID:

Firefox donne une erreur SEC_ERROR_REVOKED_CERTIFICATE:

Safari dit qu'il existe un émetteur invalide:

Qu'est-ce qui ne va pas et pourquoi y a-t-il tant de désaccord entre les navigateurs?

apachehttpsapache2security-certificate
17
Stephen Ostermiller

J'ai de mauvaises nouvelles pour vous. Les certificats de StartSSL ne sont plus approuvés par Chrome, Firefox et, bientôt, par les autres navigateurs , commençant par les nouveaux certificats émis . Bien sûr, StartSSL ne vous le dira pas et se fera un plaisir de vous vendre de nouveaux certificats tout en maintenant leur comportement extrêmement sombre .

À ce stade, tout ce que je peux recommander, c’est de limiter les dégâts en achetant un autre certificat générique (en supposant que vous ne voulez pas/ne pouvez pas utiliser Certbot?) Auprès de quelque chose comme cheapsslsecurity.com . Aucune affiliation, juste un client précédent et ils étaient peu coûteux et faciles à utiliser.

Votre nouveau certificat ne sert plus à rien et vous devez le remplacer.

26
Tom Brossman

StartSSL a confirmé que cela était dû au certificat racine StartCom partiellement révoqué. Ils travaillent à obtenir de nouveau leur certificat racine entièrement approuvé par les navigateurs. Il semble que la fin du mois de février soit la date la plus rapprochée, aussi n’est-il pas à temps pour aider mes certificats qui expirent dans deux semaines. :

Pour: Stephen Ostermiller,

Ce message électronique a été créé par le personnel administratif de StartCom:

Bonjour,

Tous les certificats émis avant le 21.10.2016 ne sont pas concernés. Les certificats émis après le 21.10.2016 ne sont pas fiables dans les navigateurs Chrome, Firefox et Safari.

Document officiel sur la méfiance> --- (https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Nous travaillons d'arrache-pied sur le plan de mesures correctives ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) et nous mettons tout en œuvre pour regagner la confiance nécessaire. Une des étapes déjà terminée - https://startssl.com/NewsDetails?date=20160919

Nous avons quelques retards avec une solution provisoire, mais nous n’aurons plus d’informations que plus tard en février.

Veuillez accepter nos excuses pour le désagrément.

S'il vous plait ne répondez pas à cet email. Il s’agit d’une adresse électronique non surveillée, et les réponses à cet e-mail ne peuvent pas être traitées ou lues. Si vous avez des questions ou des commentaires, cliquez ici (( https://startssl.com/reply )) pour nous envoyer votre question, merci.

Meilleures salutations
Autorité de certification StartCom ™

Qualys SSL Labs

Quant à la raison pour laquelle Qualys SSL Labs ne rapporte pas l’erreur, j’ai trouvé un fil dans leurs forums qui indique qu’ils devraient coder de manière irréversible un cas spécifique, car la révocation n’a pas été gérée normalement. façon. Ils ne l'ont pas encore fait, mais ils ont un bogue ouvert pour le faire .

Comme CA n’était pas révoqué normalement, il n’existe donc aucun moyen de connaître OCSP ou CRL pour les certificats révoqués. Selon Mozilla, Google et Apple, StartCom a enfreint plusieurs règles. Toutefois, comme StartCom est l’une des principales autorités de certification, il serait tout simplement trop fastidieux de révoquer un certificat d’autorité de certification, des millions de pages Web cesseraient de fonctionner. Ils ont décidé de ne plus faire confiance aux nouveaux certificats émis par cette autorité de certification en commençant par la nouvelle version du navigateur. Cette annonce ayant été annoncée il y a deux mois, les administrateurs Web ont donc eu le temps d'obtenir un nouveau certificat auprès d'une autre autorité de certification.

Cela ne veut pas croire que le changement de CA est codé en dur dans les NOUVELLES versions de navigateurs. Par conséquent, afin d'obtenir des résultats utiles sur ssllabs.com, ces règles doivent également être codées en dur dans test. Pas la solution la plus jolie, mais elle semble la seule.

Firefox

Blog de sécurité de Mozilla: Se méfier des nouveaux certificats WoSign et StartCom

Chrome

Google et Chrome Se méfier des certificats WoSign et StartCom

Chrome supprime progressivement ces certificats, supprimant ainsi la confiance des certificats dans les versions ultérieures du navigateur .

  • Chrome 56 ne fait pas confiance à tous les certificats émis après le 21 octobre 2016.
  • Chrome 57 se méfie également de tous les anciens certificats, à moins que le site ne figure dans le top 1 million de sites Alexa.
  • Chrome 58 se méfie également de tous les anciens certificats, sauf si le site figure dans le top 500 000 Alexa.
  • Chrome 61 manque de confiance TOUS certificats signés par StartSSL et WoSign

Safari

Apple et Safari Blocking Trust pour le certificat SSL libre Wo2ign CA Free G2

La fin de StartCom

J'ai reçu le courrier électronique suivant de la part de StartCom à propos de leur fermeture:

Cher client,

Comme vous le savez sûrement, les constructeurs de navigateurs se sont méfiés de StartCom il y a environ un an. Par conséquent, tous les certificats d'entité finale nouvellement émis par StartCom ne sont pas approuvés par défaut dans les navigateurs.

Les navigateurs ont imposé certaines conditions pour que les certificats soient à nouveau acceptés. Si StartCom estime que ces conditions sont remplies, il semble que certaines difficultés subsistent. Compte tenu de cette situation, les propriétaires de StartCom ont décidé de résilier la société en tant qu'autorité de certification, comme indiqué sur le site Web de Startcom.

StartCom cessera d’émettre de nouveaux certificats à compter du 1er janvier 2018 et fournira uniquement les services CRL et OCSP pendant deux années supplémentaires.

StartCom souhaite vous remercier pour votre soutien pendant cette période difficile.

StartCom contacte d'autres autorités de certification pour vous fournir les certificats nécessaires. Si vous ne souhaitez pas que nous vous fournissions une alternative, contactez-nous à [email protected]

S'il vous plaît laissez-nous savoir si vous avez besoin d'aide supplémentaire dans le processus de transition. Nous nous excusons pour les inconvénients que cela pourrait causer.

Cordialement, Autorité de certification StartCom

8
Stephen Ostermiller