StartSSL प्रमाणपत्र फ़ायरफ़ॉक्स में SEC_ERROR_REVOKED_CERTATE और Chrome में ERR_CERT_AUTHORITY_INVALID देता है

मेरा मौजूदा HTTPS प्रमाणपत्र जल्द ही समाप्त हो रहा है इसलिए मैंने एक नया खरीदा है। मैं एक बहुत ही मुश्किल समय इसे ठीक से स्थापित करने के बाद कर रहा हूँ मेरे पास StartSSL का एक वाइल्डकार्ड प्रमाणपत्र है, जिसके लिए *.deadsea.ostermiller.orgमैं अपने अपाचे वेबसर्वर पर स्थापित करने की कोशिश कर रहा हूं। SSL के लिए मेरा अपाचे विन्यास है:

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

जो मुझे मिले निर्देशों से है: https://www.startssl.com/Support?v=21 मैं फिर अपाचे को पुनरारंभ करता हूं जो ठीक होता है। फिर मैं विभिन्न ब्राउज़रों में https://test.deadsea.ostermiller.org/ (जो कि 404 त्रुटि देनी चाहिए) का उपयोग करने की कोशिश कर रहा हूं और कुछ काम नहीं कर रहे हैं।

कर्ल ठीक है:

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

क्वालिस एसएसएल लैब्स ने इसे A- रेट किया और कहा कि यह "विश्वसनीय" है:

Microsoft एज ब्राउज़र सही काम करता है:

Chrome एक NET :: ERR_CERT_AUTHORITY_INVALID त्रुटि देता है:

फ़ायरफ़ॉक्स एक SEC_ERROR_REVOKED_CERTIFICATE त्रुटि देता है:

सफारी का कहना है कि एक अमान्य जारीकर्ता है:

क्या गलत हो रहा है और ब्राउज़रों के बीच इतनी असहमति क्यों है?

मेरे पास तुम्हारे लिए कुछ बुरी खबर है। StartSSL के प्रमाणपत्रों पर अब क्रोम, फ़ायरफ़ॉक्स और जल्द ही अन्य ब्राउज़रों द्वारा भरोसा नहीं किया जाता है , जो पहले जारी किए गए प्रमाणपत्रों से शुरू होते हैं । StartSSL आपको निश्चित रूप से यह नहीं बताएगा और व्यवहार के बेहद छायादार पैटर्न को जारी रखते हुए, आपको नए सिरे से बेच देगा ।

इस बिंदु पर मैं सभी की सिफारिश कर सकता हूं कि एक और वाइल्डकार्ड सर्टिफिकेट खरीदकर डैमेज कंट्रोल किया जाए (यह मानते हुए कि आप सर्पोट का इस्तेमाल नहीं कर सकते / नहीं कर सकते?) जैसे कि cheapsslsecurity.com । कोई संबद्धता नहीं, सिर्फ एक पिछले ग्राहक और वे सस्ते और उपयोग में आसान थे।

आपका नया प्रमाण पत्र किसी भी अधिक अच्छा नहीं है, और आपको इसे बदलना होगा।

StartSSL ने पुष्टि की कि यह आंशिक रूप से निरस्त StartCom रूट प्रमाणपत्र के कारण है। वे अपने रूट सर्टिफिकेट पर फिर से ब्राउज़रों द्वारा पूरी तरह भरोसा करने पर काम कर रहे हैं। ऐसा लगता है कि फरवरी के अंत में सबसे शुरुआती समय सीमा होगी, इसलिए दो सप्ताह में समाप्त होने वाले मेरे अनाज की मदद करने के लिए समय पर नहीं। :-(

के लिए: स्टीफन ओस्टरमिलर,

यह इलेक्ट्रॉनिक मेल संदेश StartCom के प्रशासन कार्मिक द्वारा बनाया गया था:

नमस्कार,

21.10.2016 से पहले जारी किए गए सभी प्रमाण पत्र प्रभावित नहीं होते हैं। 21.10.2016 के बाद जारी किए गए प्रमाणपत्र क्रोम, फ़ायरफ़ॉक्स और सफारी ब्राउज़रों में अविश्वासित हैं।

अविश्वास> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certports/

हम प्रेषण योजना ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) पर कड़ी मेहनत कर रहे हैं , और हम ASAP पर भरोसा हासिल करने के लिए सब कुछ कर रहे हैं। पहले से ही पूरी तरह से किया गया एक कदम - https://startssl.com/NewsDetails?date=20160919

हमारे पास अंतरिम समाधान के साथ कुछ देरी है लेकिन अधिक जानकारी फरवरी में ही होगी।

असुविधा के लिए कृपया हमारी क्षमायाचना स्वीकार करें।

कृपया इस ईमेल का जवाब न दें। यह एक बिना ईमेल वाला पता है, और इस ईमेल के जवाबों का जवाब या पढ़ने के लिए नहीं दिया जा सकता है। यदि आपका कोई प्रश्न या टिप्पणी है, तो अपना प्रश्न हमें भेजने के लिए यहां (( https://startssl.com/reply ) पर क्लिक करें, धन्यवाद।

सर्वश्रेष्ठ सादर
StartCom ™ प्रमाणन प्राधिकरण

क्वालिस एसएसएल लैब्स

क्वालिस एसएसएल लैब्स ने त्रुटि की रिपोर्ट क्यों नहीं की, मुझे उनके मंचों में एक सूत्र मिला है जिसमें कहा गया है कि उन्हें इसके लिए एक विशिष्ट मामले को कठिन कोड देना होगा क्योंकि विद्रोह को सामान्य तरीके से नहीं संभाला गया था। उन्होंने अभी तक ऐसा नहीं किया है, लेकिन उनके पास ऐसा करने के लिए एक बग खुला है ।

CA साधारण निरस्त नहीं था, इसलिए निरस्त प्रमाण पत्र के लिए OCSP या CRL को देखने का कोई तरीका नहीं है। StartCom में Mozilla के अनुसार है, Google और Apple ने कई नियमों का उल्लंघन किया है, लेकिन क्योंकि StartCom एक अग्रणी प्रमाण पत्र प्राधिकरण में से एक है, इसलिए CA प्रमाणपत्र को बस रद्द करना बहुत बड़ी कार्रवाई होगी, लाखों वेब पेज काम करना बंद कर देंगे। उन्होंने फैसला किया कि वे इस CA द्वारा नए जारी किए गए प्रमाणपत्रों पर भरोसा करना बंद कर देंगे, जो नए संस्करण के ब्राउज़र के साथ शुरू होंगे। यह दो महीने पहले की तरह घोषित किया गया था, इसलिए वेब प्रशासकों को अन्य सीए से नए प्रमाण पत्र प्राप्त करने का समय मिला है।

यह विश्वास नहीं करता है कि सीए के परिवर्तन को ब्राउज़र के नए संस्करणों में हार्ड-कोडित किया गया है, इसलिए ssllabs.com पर कुछ उपयोगी परिणाम प्राप्त करने के लिए, इस नियम को परीक्षण में हार्ड-कोडित भी किया जाना चाहिए। सबसे प्रचलित समाधान नहीं है, लेकिन यह एकमात्र दिखता है।

फ़ायरफ़ॉक्स

मोज़िला सिक्योरिटी ब्लॉग: डिस्ट्रॉस्टिंग न्यू वॉयसाइन और स्टार्टकॉम सर्टिफिकेट्स

क्रोम

Google और Chrome डिस्ट्रॉस्टिंग WoSign और StartCom प्रमाणपत्र

Chrome बाद के ब्राउज़र रिलीज़ के साथ इन प्रमाणपत्रों को धीरे-धीरे डिस-ट्रस्ट कर रहा है ।

• 21 अक्टूबर 2016 के बाद जारी किए गए सभी प्रमाणपत्रों में क्रोम 56 अविश्वास है।
• जब तक एलेक्सा शीर्ष दस लाख साइटों में नहीं है, तब तक क्रोम 57 सभी पुराने प्रमाणपत्रों को भी अविश्वासित करता है।
• जब तक एलेक्सा शीर्ष 500,000 में है, तब तक क्रोम 58 सभी पुराने प्रमाणपत्रों को भी अविश्वासित करता है।
• क्रोम 61 विश्वास नहीं सभी प्रमाण पत्र StartSSL और WoSign द्वारा हस्ताक्षर किए

सफारी

Apple और सफारी ब्लॉकिंग ट्रस्ट के लिए WoSign CA Free SSL Certificate G2

StartCom का अंत

मुझे उनके द्वारा शट डाउन करने के बारे में StartCom से निम्नलिखित ईमेल प्राप्त हुए:

प्रिय ग्राहक,

जैसा कि आप निश्चित रूप से जानते हैं, ब्राउज़र निर्माताओं ने लगभग एक साल पहले StartCom को डिस्टर्ब किया था और इसलिए StartCom द्वारा जारी किए गए सभी अंतिम इकाई प्रमाणपत्रों को डिफ़ॉल्ट रूप से ब्राउज़रों पर भरोसा नहीं किया गया है।

प्रमाणपत्रों को फिर से स्वीकार किए जाने के लिए ब्राउज़र ने कुछ शर्तें लगाईं। जबकि StartCom का मानना ​​है कि इन शर्तों को पूरा किया गया है, ऐसा प्रतीत होता है कि अभी भी कुछ मुश्किलें आने वाली हैं। इस स्थिति को देखते हुए, StartCom के मालिकों ने कंपनी को एक प्रमाणन प्राधिकरण के रूप में समाप्त करने का निर्णय लिया है जैसा कि Startcom की वेबसाइट में वर्णित है।

स्टार्टकॉम 1 जनवरी, 2018 से शुरू होने वाले नए प्रमाणपत्र जारी करना बंद कर देगा और दो और वर्षों के लिए केवल CRL और OCSP सेवाएं प्रदान करेगा।

StartCom इस मुश्किल समय के दौरान आपके समर्थन के लिए धन्यवाद देना चाहता है।

StartCom आपको आवश्यक प्रमाण पत्र प्रदान करने के लिए कुछ अन्य CA से संपर्क कर रहा है। यदि आप हमें कोई विकल्प प्रदान नहीं करना चाहते हैं, तो कृपया हमें certmaster@startcomca.com पर संपर्क करें

कृपया हमें बताएं कि क्या आपको संक्रमण प्रक्रिया में किसी और सहायता की आवश्यकता है। हम किसी भी असुविधा के लिए गहराई से क्षमा चाहते हैं जो इसका कारण हो सकती है।

सबसे अच्छा संबंध है, StartCom प्रमाणन प्राधिकरण