Vinnaren i pepparkakshustävlingen!
  1. Dator och IT
  2. IT-säkerhet

Vad har hänt med mina StartSSL-certifikat?

Svara
2017-09-23, 22:38
  #1
sebnie
Medlem
sebnies avatar
Jag har ett IV (betalat 59$) certifikat från StartSSL, med wildcard + kodsignering och allt, det är giltigt fram till januari 2018 någonting.

Och jag märkte plötsligt att något har hänt med det. Det är inte återkallat, kollat både CRL och OSCP. Alla webbläsare säger att certifikatets rotutfärdare inte är pålitligt (även om jag importerar rooten)
Har även kollat CA-storen och rooten finns där. Provat att radera och lägga tillbaka rooten men det hjälper inte...

Verkar som att certifikatet på något vis blivit "hårdspärrat" någonstans. Bissarrt? Är det bara mitt certifkat som blivit spärrat och vad har jag gjort för fel?
Citera
2017-09-23, 22:52
  #2
Regentia
Medlem
Citat:
Ursprungligen postat av sebnie
Jag har ett IV (betalat 59$) certifikat från StartSSL, med wildcard + kodsignering och allt, det är giltigt fram till januari 2018 någonting.

Och jag märkte plötsligt att något har hänt med det. Det är inte återkallat, kollat både CRL och OSCP. Alla webbläsare säger att certifikatets rotutfärdare inte är pålitligt (även om jag importerar rooten)
Har även kollat CA-storen och rooten finns där. Provat att radera och lägga tillbaka rooten men det hjälper inte...

Verkar som att certifikatet på något vis blivit "hårdspärrat" någonstans. Bissarrt? Är det bara mitt certifkat som blivit spärrat och vad har jag gjort för fel?

StartCom är obetrodda tillsammans med WoSign. Byt CA.
Citera
2017-09-23, 23:27
  #3
xituno
Medlem
xitunos avatar
WoSign och StartCom är inte längre betrodda.

Källa

Citat:
The decisions to ban WoSign and StartCom were made largely in October 2016, but the actual trust changes started to take place in January 2017. Browser vendors generally attempted to keep all existing certificates alive, which is potentially challenges given that one of the accusations leveled at WoSign was certificate backdating. (In absence of a widespread deployment of a public log mechanism for certificates, for example Certificate Transparency, there is no way to verify a certificates’ not-before and not-after dates.) However, this is not something that can be done reliably, which is why many web sites with WoSign’s and StartCom’s certificates started to experience disruption. Furthermore, all vendors are committed to taking whatever actions in the future they feel necessary, including completely revoking trust in the doomed CAs. Mozilla said that they could do that as early as April 2017.

Mer info
Citera
2017-09-23, 23:36
  #4
sebnie
Medlem
sebnies avatar
Det är ju märkligt att mina certifikat är blockade då. Av informationen att döma så skall alla certifikat utfärdade före 1-21 okt 2016 (mitt är utfärdat 1-31 jan 2016) släppas igenom spärren, och sedan ska certifikaten spärras helt då alla certifikat utfärdade före 1-21 okt 2016 gått ut..
__________________
Senast redigerad av sebnie 2017-09-23 kl. 23:42.
Citera
2017-09-24, 00:37
  #5
xituno
Medlem
xitunos avatar
Citat:
Ursprungligen postat av sebnie
Det är ju märkligt att mina certifikat är blockade då. Av informationen att döma så skall alla certifikat utfärdade före 1-21 okt 2016 (mitt är utfärdat 1-31 jan 2016) släppas igenom spärren, och sedan ska certifikaten spärras helt då alla certifikat utfärdade före 1-21 okt 2016 gått ut..

Du har tyvärr missförstått det du läst. Jag citerar från min föregående inlägg:
Citat:
Furthermore, all vendors are committed to taking whatever actions in the future they feel necessary, including completely revoking trust in the doomed CAs.

För att förtydliga: Alla certifikat från WoSign och StartCom, oavsett vilket datum de har, kommer inte längre att vara betrodda.

Källa:
Citat:
As previously announced, Chrome has been in the process of removing trust from certificates issued by the CA WoSign and its subsidiary StartCom, as a result of several incidents not in keeping with the high standards expected of CAs.

We started the phase out in Chrome 56 by only trusting certificates issued prior to October 21st 2016, and subsequently restricted trust to a set of whitelisted hostnames based on the Alexa Top 1M. We have been reducing the size of the whitelist over the course of several Chrome releases.

Beginning with Chrome 61, the whitelist will be removed, resulting in full distrust of the existing WoSign and StartCom root certificates and all certificates they have issued.

Based on the Chromium Development Calendar, this change should be visible in the Chrome Dev channel in the coming weeks, the Chrome Beta channel around late July 2017, and will be released to Stable around mid September 2017.

Sites still using StartCom or WoSign-issued certificates should consider replacing these certificates as a matter of urgency to minimize disruption for Chrome users.
Citera
Svara

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback