StartSSL 인증서는 Firefox에서 SEC_ERROR_REVOKED_CERTIFICATE를 제공하고 Chrome에서 ERR_CERT_AUTHORITY_INVALID를 제공합니다.

17

기존 HTTPS 인증서가 곧 만료되므로 새 인증서를 구입했습니다. 그래도 제대로 설치하는 데 어려움을 겪고 있습니다. *.deadsea.ostermiller.orgApache 웹 서버에 설치하려는 StartSSL의 와일드 카드 인증서가 있습니다 . SSL에 대한 내 Apache 구성은 다음과 같습니다.

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

https://www.startssl.com/Support?v=21 에서 얻은 지침 중 어느 것이 있습니까 ? 그런 다음 아파치를 다시 시작하면 정상적으로 다시 시작됩니다. 그런 다음 다양한 브라우저에서 https://test.deadsea.ostermiller.org/ (404 오류가 발생해야 함) 에 액세스하려고하는데 일부는 작동하지만 일부는 작동하지 않습니다.

컬은 잘 작동합니다.

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL LabsA- 등급을 매기고 "신뢰할 수있다"고 말합니다.

Microsoft Edge 브라우저가 올바른 작업을 수행합니다.

Chrome에서 NET :: ERR_CERT_AUTHORITY_INVALID 오류를 발생시킵니다.

Firefox에서 SEC_ERROR_REVOKED_CERTIFICATE 오류가 발생합니다.

Safari는 잘못된 발급자가 있다고 말합니다.

무엇이 잘못되고 있으며 브라우저간에 많은 의견 차이가 있습니까?

apache  https  apache2  security-certificate 
스티븐 오스터 밀러
소스
1
'유효하지 않은 발행자'가 실마리가 아닌데 왜 LetsEncrypt가 주변에있는 SLL에 대해 더 지불해야합니까?
Steve
6
이 새로운 인증서를 불신하는 주요 브라우저에서 발생하는 Startcom의 나쁜 행동의 원인 일 수 있습니다 blog.mozilla.org/security/2016/10/24/...
스테 울리히
1
@Steve LetsEncrypt는 와일드 카드 도메인을 지원하지 않으므로이 경우에는 작동하지 않습니다. 그들은 또한 OV 또는 EV 인증서를 제공하지 않으므로 좋은 인증서를 얻을 수 없습니다.
Stephen Ostermiller
1
@SteffenUllrich 와우, 나는 그것에 대해 몰랐다. 나는 수년 동안 StartSSL을 사용해 왔습니다. 다음 주에 기존 인증서가 만료되기 전에 새로운 인증서 발급자를 찾지 않아도되기를 바랍니다.
Stephen Ostermiller
가지고있는 하위 도메인의 수에 따라 Let 's Encrypt를 사용할 수 있습니다. 인증 서당 최대 100 개의 SAN을 지원합니다. 하위 도메인을 정기적으로 추가하거나 제거해야하는 경우 GetSSL을 사용하여이를 자동화 할 수 있습니다. 우리는 약 300 명의 고객에게 서비스를 제공하며 3 개의 인증서 만 있습니다.
user1771561 2019

답변:

26

나는 당신에게 나쁜 소식이 있습니다. StartSSL의 인증서는 Chrome, Firefox 및 곧 다른 브라우저 에서 더 이상 신뢰하지 않으며 새로 발급 된 인증서부터 시작 합니다. StartSSL은 물론이 사실을 알려주지 않으며 새 인증서를 기꺼이 판매하여 매우 그늘진 행동 패턴을 계속합니다 .

이 시점에서 모든 내가 추천 할 수 있습니다 (이 / Certbot를 사용할 수 없습니다 가정?) 같은 곳에서 또 다른 와일드 카드 인증서를 구입하여 손상 제어입니다 cheapsslsecurity.com . 이전 고객이 아니었기 때문에 저렴하고 사용하기 쉬웠습니다.

새 인증서는 더 이상 유효하지 않으므로 교체해야합니다.

톰 브로스 만
소스
5
Let 's Encrypt 및 CertBot의 옵션이 눈에 잘 띄는 링크와 함께 귀하의 답변에 더 많이 표시되어야한다고 생각합니다. 한 CA에서 다른 CA로 전환하면 Let 's Encrypt로 전환하고 인증서 문제로 한 번에 모두 완료 할 수 있습니다. 더 이상 매년 새로운 인증서를 요구할 필요가 없습니다. 웹 서버가 지속되는 한 자동으로 갱신됩니다.
vog
8

StartSSL은 이것이 부분적으로 취소 된 StartCom 루트 인증서 때문임을 확인했습니다. 그들은 브라우저에서 루트 인증서를 완전히 신뢰하도록 노력하고 있습니다. 2 월 말이 가장 빠른 시간 프레임 인 것처럼 들리므로 2 주 후에 만료되는 인증서를 도와 줄 시간이 아닙니다. :-(

받는 사람 : Stephen Ostermiller,

이 전자 메일 메시지는 StartCom의 관리 담당자가 작성했습니다.

여보세요,

2016 년 10 월 21 일 이전에 발행 된 모든 인증서는 영향을받지 않습니다. 2016 년 10 월 21 일 이후에 발급 된 인증서는 Chrome, Firefox 및 Safari 브라우저에서 신뢰할 수 없습니다.

불신에 관한 공식 문서> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

우리는 치료 계획 ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) 에 열심히 노력 하고 있으며 최대한 빨리 신뢰를 얻기 위해 모든 노력을 기울이고 있습니다. 이미 완료된 단계 중 하나-https://startssl.com/NewsDetails? date=20160919

임시 솔루션에 약간의 지연이 있지만 2 월 후반에 더 많은 정보가 제공 될 것입니다.

불편을 드려 죄송합니다.

이 메일에 답장하지 마십시오. 이것은 모니터링되지 않는 전자 메일 주소이며이 전자 메일에 대한 회신은 응답하거나 읽을 수 없습니다. 질문이나 의견이 있으시면 여기 (( https://startssl.com/reply )를 클릭 하여 질문을 보내주십시오. 감사합니다.

감사합니다
StartCom ™ 인증 기관

Qualys SSL 연구소

Qualys SSL Labs가 오류를보고하지 않는 이유에 대해서는 포럼 에서 회전이 정상적인 방식으로 처리되지 않았기 때문에 특정 사례를 하드 코딩해야한다는 스레드를 발견했습니다 . 아직 그렇게하지는 않았지만 버그가 열려 있습니다.

CA는 일반적으로 해지되지 않았으므로 해지 된 인증서에 대해 OCSP 또는 CRL을 보는 것만 알 수있는 방법이 없습니다. StartCom은 Mozilla, Google 및 Apple은 몇 가지 규칙을 위반했다고 밝혔지만 StartCom은 최고의 인증 기관 중 하나이기 때문에 단순히 CA 인증서를 해지하기에는 너무 큰 조치이므로 수백만 웹 페이지가 작동을 멈출 것입니다. 그들은 새로운 버전의 브라우저부터이 CA가 발급 한 새로운 인증서의 신뢰를 중단하기로 결정했습니다. 이것은 두 달 전에 발표되었으므로 웹 관리자는 다른 CA로부터 새 인증서를받을 시간이있었습니다.

CA의 변경 사항을 신뢰하지 않는 것은 새로운 버전의 브라우저에서 하드 코딩되어 있으므로 ssllabs.com에서 유용한 결과를 얻으려면이 규칙도 테스트에서 하드 코딩해야합니다. 가장 귀여운 해결책은 아니지만 유일하게 보입니다.

Firefox

Mozilla 보안 블로그 : 새로운 WoSign 및 StartCom 인증서 불신

크롬

Google 및 Chrome에서 WoSign 및 StartCom 인증서를 불신

Chrome은 후속 브라우저 릴리스에서 이러한 인증서를 점차적으로 불신하고 있습니다 .

  • Chrome 56은 2016 년 10 월 21 일 이후에 발행 된 모든 인증서를 불신합니다.
  • 또한 사이트가 Alexa 최상위 백만 사이트에 있지 않으면 Chrome 57은 모든 이전 인증서를 신뢰하지 않습니다.
  • 또한 사이트가 Alexa 상위 500,000 개가 아닌 경우 Chrome 58은 모든 이전 인증서를 신뢰하지 않습니다.
  • Chrome 61 은 StartSSL 및 WoSign이 서명 한 모든 인증서를 불신합니다

원정 여행

WoSign CA 무료 SSL 인증서 G2에 대한 Apple 및 Safari 차단 신뢰

StartCom의 끝

StartCom으로부터 시스템 종료에 대한 다음 이메일을 받았습니다.

친애하는 고객,

아시다시피, 브라우저 제조업체는 약 1 년 전에 StartCom을 신뢰하지 않았으므로 StartCom에서 새로 발행 한 모든 최종 엔티티 인증서는 기본적으로 브라우저에서 신뢰되지 않습니다.

브라우저는 인증서를 다시 수락하기 위해 몇 가지 조건을 부과했습니다. StartCom은 이러한 조건이 충족되었다고 생각하지만 앞으로는 여전히 어려움이있는 것으로 보입니다. 이러한 상황을 고려하여 StartCom의 소유자는 Startcom 웹 사이트에 언급 된대로 회사를 인증 기관으로 종료하기로 결정했습니다.

StartCom은 2018 년 1 월 1 일부터 새 인증서 발급을 중단하고 2 년 동안 CRL 및 OCSP 서비스 만 제공합니다.

StartCom은이 어려운시기에 지원해 주셔서 감사합니다.

StartCom이 필요한 다른 인증서를 제공하기 위해 다른 CA에 연락하고 있습니다. 다른 대안을 제공하지 않으려는 경우 certmaster@startcomca.com으로 문의하십시오.

전환 과정에 대한 추가 지원이 필요하면 알려주십시오. 불편을 드려 죄송합니다.

감사합니다. StartCom 인증 기관

스티븐 오스터 밀러
소스
1
문제의 출처에서 직접 정보가 포함되어 있기 때문에 아마도 이것이 대답이 될 것입니다. 이전에 게시되었으므로 내 것을 선택할 필요가 없습니다.
Tom Brossman 17
1
나는 이미 훌륭한 답변에 정보를 추가하고 있습니다. :-) 나는 또한 답변을 받기 전에 올바른 방향으로 나를 가리키는 의견을 게시 한 @SteffenUllrich에게 신용하고 싶습니다. 원래 인증서를 잘못 설치했다고 생각했습니다.
Stephen Ostermiller
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.