StartSSL प्रमाणपत्र फ़ायरफ़ॉक्स में SEC_ERROR_REVOKED_CERTATE और Chrome में ERR_CERT_AUTHORITY_INVALID देता है


17

मेरा मौजूदा HTTPS प्रमाणपत्र जल्द ही समाप्त हो रहा है इसलिए मैंने एक नया खरीदा है। मैं एक बहुत ही मुश्किल समय इसे ठीक से स्थापित करने के बाद कर रहा हूँ मेरे पास StartSSL का एक वाइल्डकार्ड प्रमाणपत्र है, जिसके लिए *.deadsea.ostermiller.orgमैं अपने अपाचे वेबसर्वर पर स्थापित करने की कोशिश कर रहा हूं। SSL के लिए मेरा अपाचे विन्यास है:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

जो मुझे मिले निर्देशों से है: https://www.startssl.com/Support?v=21 मैं फिर अपाचे को पुनरारंभ करता हूं जो ठीक होता है। फिर मैं विभिन्न ब्राउज़रों में https://test.deadsea.ostermiller.org/ (जो कि 404 त्रुटि देनी चाहिए) का उपयोग करने की कोशिश कर रहा हूं और कुछ काम नहीं कर रहे हैं।


कर्ल ठीक है:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

क्वालिस एसएसएल लैब्स ने इसे A- रेट किया और कहा कि यह "विश्वसनीय" है:


Microsoft एज ब्राउज़र सही काम करता है:


Chrome एक NET :: ERR_CERT_AUTHORITY_INVALID त्रुटि देता है:


फ़ायरफ़ॉक्स एक SEC_ERROR_REVOKED_CERTIFICATE त्रुटि देता है:


सफारी का कहना है कि एक अमान्य जारीकर्ता है:


क्या गलत हो रहा है और ब्राउज़रों के बीच इतनी असहमति क्यों है?


1
क्या 'अमान्य जारीकर्ता' कोई सुराग नहीं है? लेकिन एसएलएल के लिए अब और भुगतान क्यों करें कि LetsEncrypt आसपास है?
स्टीव

6
यह Startcom के एक बुरे व्यवहार का परिणाम हो सकता है, जिसके कारण नए प्रमाणपत्रों के लिए इसे अविश्वास करने के लिए प्रमुख ब्राउज़र थे: blog.mozilla.org/security/2016/10/24/…
Steffen Ullrich

1
@Steve LetsEncrypt वाइल्डकार्ड डोमेन का समर्थन नहीं करता है, इसलिए यह इस मामले के लिए काम नहीं करेगा। वे OV या EV प्रमाणपत्र भी नहीं देते हैं, इसलिए मुझे उनसे बहुत अच्छे अंक नहीं मिल सकते।
स्टीफन Ostermiller

1
@SteffenUllrich वाह, मैं उस बारे में नहीं जानता था। मैं अब सालों से StartSSL का उपयोग कर रहा हूं। मुझे उम्मीद है कि मुझे अपने मौजूदा सेर की समय सीमा समाप्त होने से पहले अगले सप्ताह में एक नया सर्टिफिकेट जारीकर्ता नहीं मिल जाएगा।
स्टीफन Ostermiller

आपके पास जितने उप डोमेन हैं, उसके आधार पर आप लेट्स एनक्रिप्ट का उपयोग कर सकते हैं। वे प्रति प्रमाणपत्र 100 SAN तक का समर्थन करते हैं। GetSSL का उपयोग करके, आप इसे स्वचालित रूप से स्वचालित कर सकते हैं यदि आपको नियमित रूप से उप-डोमेन जोड़ना या निकालना है। हम लगभग 300 ग्राहकों की सेवा करते हैं और उनके पास केवल 3 प्रमाणपत्र हैं।
user1771561

जवाबों:


26

मेरे पास तुम्हारे लिए कुछ बुरी खबर है। StartSSL के प्रमाणपत्रों पर अब क्रोम, फ़ायरफ़ॉक्स और जल्द ही अन्य ब्राउज़रों द्वारा भरोसा नहीं किया जाता है , जो पहले जारी किए गए प्रमाणपत्रों से शुरू होते हैं । StartSSL आपको निश्चित रूप से यह नहीं बताएगा और व्यवहार के बेहद छायादार पैटर्न को जारी रखते हुए, आपको नए सिरे से बेच देगा ।

इस बिंदु पर मैं सभी की सिफारिश कर सकता हूं कि एक और वाइल्डकार्ड सर्टिफिकेट खरीदकर डैमेज कंट्रोल किया जाए (यह मानते हुए कि आप सर्पोट का इस्तेमाल नहीं कर सकते / नहीं कर सकते?) जैसे कि cheapsslsecurity.com । कोई संबद्धता नहीं, सिर्फ एक पिछले ग्राहक और वे सस्ते और उपयोग में आसान थे।

आपका नया प्रमाण पत्र किसी भी अधिक अच्छा नहीं है, और आपको इसे बदलना होगा।


5
मेरा मानना ​​है कि लेट्स एनक्रिप्ट और सर्टिफिकेट के विकल्प आपके उत्तर में प्रमुख लिंक के साथ दिखाई देने चाहिए। एक सीए से दूसरे में स्विच करना यह लेट्स एनक्रिप्ट करने के लिए स्विच करने का आदर्श मौका है, और एक बार और सभी के लिए प्रमाणपत्र मुद्दों के साथ किया जाना चाहिए। अब आपको नए प्रमाणपत्र के लिए साल दर साल पूछना होगा। जब तक आपका वेबसर्वर रहता है, तब तक यह अपने आप नवीनीकृत हो जाएगा।
वोग

8

StartSSL ने पुष्टि की कि यह आंशिक रूप से निरस्त StartCom रूट प्रमाणपत्र के कारण है। वे अपने रूट सर्टिफिकेट पर फिर से ब्राउज़रों द्वारा पूरी तरह भरोसा करने पर काम कर रहे हैं। ऐसा लगता है कि फरवरी के अंत में सबसे शुरुआती समय सीमा होगी, इसलिए दो सप्ताह में समाप्त होने वाले मेरे अनाज की मदद करने के लिए समय पर नहीं। :-(

के लिए: स्टीफन ओस्टरमिलर,

यह इलेक्ट्रॉनिक मेल संदेश StartCom के प्रशासन कार्मिक द्वारा बनाया गया था:

नमस्कार,

21.10.2016 से पहले जारी किए गए सभी प्रमाण पत्र प्रभावित नहीं होते हैं। 21.10.2016 के बाद जारी किए गए प्रमाणपत्र क्रोम, फ़ायरफ़ॉक्स और सफारी ब्राउज़रों में अविश्वासित हैं।

अविश्वास> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certports/

हम प्रेषण योजना ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) पर कड़ी मेहनत कर रहे हैं , और हम ASAP पर भरोसा हासिल करने के लिए सब कुछ कर रहे हैं। पहले से ही पूरी तरह से किया गया एक कदम - https://startssl.com/NewsDetails?date=20160919

हमारे पास अंतरिम समाधान के साथ कुछ देरी है लेकिन अधिक जानकारी फरवरी में ही होगी।

असुविधा के लिए कृपया हमारी क्षमायाचना स्वीकार करें।

कृपया इस ईमेल का जवाब न दें। यह एक बिना ईमेल वाला पता है, और इस ईमेल के जवाबों का जवाब या पढ़ने के लिए नहीं दिया जा सकता है। यदि आपका कोई प्रश्न या टिप्पणी है, तो अपना प्रश्न हमें भेजने के लिए यहां (( https://startssl.com/reply ) पर क्लिक करें, धन्यवाद।

सर्वश्रेष्ठ सादर
StartCom ™ प्रमाणन प्राधिकरण

क्वालिस एसएसएल लैब्स

क्वालिस एसएसएल लैब्स ने त्रुटि की रिपोर्ट क्यों नहीं की, मुझे उनके मंचों में एक सूत्र मिला है जिसमें कहा गया है कि उन्हें इसके लिए एक विशिष्ट मामले को कठिन कोड देना होगा क्योंकि विद्रोह को सामान्य तरीके से नहीं संभाला गया था। उन्होंने अभी तक ऐसा नहीं किया है, लेकिन उनके पास ऐसा करने के लिए एक बग खुला है

CA साधारण निरस्त नहीं था, इसलिए निरस्त प्रमाण पत्र के लिए OCSP या CRL को देखने का कोई तरीका नहीं है। StartCom में Mozilla के अनुसार है, Google और Apple ने कई नियमों का उल्लंघन किया है, लेकिन क्योंकि StartCom एक अग्रणी प्रमाण पत्र प्राधिकरण में से एक है, इसलिए CA प्रमाणपत्र को बस रद्द करना बहुत बड़ी कार्रवाई होगी, लाखों वेब पेज काम करना बंद कर देंगे। उन्होंने फैसला किया कि वे इस CA द्वारा नए जारी किए गए प्रमाणपत्रों पर भरोसा करना बंद कर देंगे, जो नए संस्करण के ब्राउज़र के साथ शुरू होंगे। यह दो महीने पहले की तरह घोषित किया गया था, इसलिए वेब प्रशासकों को अन्य सीए से नए प्रमाण पत्र प्राप्त करने का समय मिला है।

यह विश्वास नहीं करता है कि सीए के परिवर्तन को ब्राउज़र के नए संस्करणों में हार्ड-कोडित किया गया है, इसलिए ssllabs.com पर कुछ उपयोगी परिणाम प्राप्त करने के लिए, इस नियम को परीक्षण में हार्ड-कोडित भी किया जाना चाहिए। सबसे प्रचलित समाधान नहीं है, लेकिन यह एकमात्र दिखता है।

फ़ायरफ़ॉक्स

मोज़िला सिक्योरिटी ब्लॉग: डिस्ट्रॉस्टिंग न्यू वॉयसाइन और स्टार्टकॉम सर्टिफिकेट्स

क्रोम

Google और Chrome डिस्ट्रॉस्टिंग WoSign और StartCom प्रमाणपत्र

Chrome बाद के ब्राउज़र रिलीज़ के साथ इन प्रमाणपत्रों को धीरे-धीरे डिस-ट्रस्ट कर रहा है

  • 21 अक्टूबर 2016 के बाद जारी किए गए सभी प्रमाणपत्रों में क्रोम 56 अविश्वास है।
  • जब तक एलेक्सा शीर्ष दस लाख साइटों में नहीं है, तब तक क्रोम 57 सभी पुराने प्रमाणपत्रों को भी अविश्वासित करता है।
  • जब तक एलेक्सा शीर्ष 500,000 में है, तब तक क्रोम 58 सभी पुराने प्रमाणपत्रों को भी अविश्वासित करता है।
  • क्रोम 61 विश्वास नहीं सभी प्रमाण पत्र StartSSL और WoSign द्वारा हस्ताक्षर किए

सफारी

Apple और सफारी ब्लॉकिंग ट्रस्ट के लिए WoSign CA Free SSL Certificate G2

StartCom का अंत

मुझे उनके द्वारा शट डाउन करने के बारे में StartCom से निम्नलिखित ईमेल प्राप्त हुए:

प्रिय ग्राहक,

जैसा कि आप निश्चित रूप से जानते हैं, ब्राउज़र निर्माताओं ने लगभग एक साल पहले StartCom को डिस्टर्ब किया था और इसलिए StartCom द्वारा जारी किए गए सभी अंतिम इकाई प्रमाणपत्रों को डिफ़ॉल्ट रूप से ब्राउज़रों पर भरोसा नहीं किया गया है।

प्रमाणपत्रों को फिर से स्वीकार किए जाने के लिए ब्राउज़र ने कुछ शर्तें लगाईं। जबकि StartCom का मानना ​​है कि इन शर्तों को पूरा किया गया है, ऐसा प्रतीत होता है कि अभी भी कुछ मुश्किलें आने वाली हैं। इस स्थिति को देखते हुए, StartCom के मालिकों ने कंपनी को एक प्रमाणन प्राधिकरण के रूप में समाप्त करने का निर्णय लिया है जैसा कि Startcom की वेबसाइट में वर्णित है।

स्टार्टकॉम 1 जनवरी, 2018 से शुरू होने वाले नए प्रमाणपत्र जारी करना बंद कर देगा और दो और वर्षों के लिए केवल CRL और OCSP सेवाएं प्रदान करेगा।

StartCom इस मुश्किल समय के दौरान आपके समर्थन के लिए धन्यवाद देना चाहता है।

StartCom आपको आवश्यक प्रमाण पत्र प्रदान करने के लिए कुछ अन्य CA से संपर्क कर रहा है। यदि आप हमें कोई विकल्प प्रदान नहीं करना चाहते हैं, तो कृपया हमें certmaster@startcomca.com पर संपर्क करें

कृपया हमें बताएं कि क्या आपको संक्रमण प्रक्रिया में किसी और सहायता की आवश्यकता है। हम किसी भी असुविधा के लिए गहराई से क्षमा चाहते हैं जो इसका कारण हो सकती है।

सबसे अच्छा संबंध है, StartCom प्रमाणन प्राधिकरण


1
यह संभवतः स्वीकृत उत्तर होना चाहिए क्योंकि इसमें समस्या के स्रोत से प्रत्यक्ष जानकारी शामिल है। मेरा चयन करने की आवश्यकता नहीं है क्योंकि यह पहले पोस्ट किया गया था।
टॉम ब्रॉसमैन

1
मैं आपके पहले से ही उत्कृष्ट उत्तर के लिए जानकारी जोड़ रहा हूँ। :-) मैं @SteffenUllrich को भी श्रेय देना चाहूंगा जिन्होंने कोई भी टिप्पणी पोस्ट की थी जिसमें कोई भी उत्तर देने से पहले मुझे सही दिशा में इशारा किया था। मैंने मूल रूप से सोचा था कि मैंने प्रमाणपत्र गलत स्थापित किया था।
स्टीफन Ostermiller
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.