при заходе на сайт NET::ERR_CERT_AUTHORITY_INVALID

baas
На сайте с 17.09.2012
Offline
164
5575

Добрый день.

С недавних пор на посещаемом мной сайте начала появляться такая ошибка.

Ошибка в google-chrom.

NET::ERR_CERT_AUTHORITY_INVALID

Ошибка в мазиле.

An error occurred during a connection to avs.express. Peer’s Certificate has been revoked. Error code: SEC_ERROR_REVOKED_CERTIFICATE

Моя система.

$ uname -rms

Linux 4.4.39-gentoo x86_64

Время у меня правильное.

$ date

Сб янв 28 09:33:04 +03 2017

Если я захожу с системы виндовс 7 sp1 pro на этот сайт (использую теже браузеры), то он открывается нормально, https работает хорошо, сертификат видится.

В этих браузерах на системе Gentoo Linux не корректно открывается безопасное соединения https

google-chrome Версия 56.0.2924.76 (64-bit)

Mozilla Firefox 51.0

На опере в Gentoo Linux все хорошо открывается, видно значек зашиты сайта https, сертификат распознается верно.

Opera 12.16 Build 1860 for Linux x86_64.

Корневые сертификаты в системе установлены и на данный момент в актуальном состоянии.

Calculating dependencies... done!

[ebuild R ] app-misc/ca-certificates-20161102.3.27.2-r2::gentoo USE="-cacert -insecure_certs" 0 KiB

Как эту ситуацию исправить?

Если предположение что браузеры удалили какой-то из корневых сертификатов использовавшиеся для сертификата.

Настройка BSD систем. (https://www.fryaha.ru) Знание сила, незнание Рабочая сила!
M
На сайте с 17.09.2016
Offline
127
#1

сертификат какой?

baas
На сайте с 17.09.2012
Offline
164
#2
Mobiaaa:
сертификат какой?

Сертификат сайту был куплен тут https://www.startssl.com/

В виндовсе все открывается нормально, почему в Linux не понятно.

[umka]
На сайте с 25.05.2008
Offline
456
#3
baas:
Peer’s Certificate has been revoked. Error code: SEC_ERROR_REVOKED_CERTIFICATE

Сертификат был отозван. Это если по-русски.

Лог в помощь!
baas
На сайте с 17.09.2012
Offline
164
#4
'[umka:
;14896672']Сертификат был отозван. Это если по-русски.

Я догадывался об этом.

Вообщем на виндовсе использовался

гугл хром 55 версии

мазила 50 версии.

Сейчас их обновил до таких же версий как на Linux, https перестал открываться.

Спасибо.

---------- Добавлено 28.01.2017 в 13:37 ----------

Разобрался.

В статье полностью пояснят.

https://geektimes.ru/post/281188/

Цитата с хабра

Дополнение от 26.10.2016: Начиная с Firefox 51, сертификаты, выданные WoSign и StartCom после 21 октября 2016 года, будут считаться недействительными. Сертификаты, использующие SHA-1 и выданные задним числом, отзываются через CRL. Корневые сертификаты WoSign и StartCom, с помощью которых были осуществлены нарушения, удалят в будущем. Удостоверяющим центрам придётся выпустить новые корневые сертификаты. Если Mozilla согласится эти новые корневые сертификаты принять, то их включение как раз подгадают к удалению старых. А если не согласится, то старые сертификаты всё равно удалят после марта 2017 года. Что касается аудиторской конторы «Ernst & Young Hong Kong», прозевавшей нарушения у WoSign, то их аудитам отныне доверия нет.
Дополнение от 01.11.2016: Chrome 56 будет помечать сертификаты, выданные WoSign и StartCom после 21 октября 2016 года, как не заслуживающие доверия.
G
На сайте с 17.08.2011
Offline
94
#5

А если усложнить задачу?..

Сертификат мультидоменный, Class4 SSL, куплен в апреле 2016-ого. Сегодня с обновлением хрома вдруг обнаруживается, что часть сайтов продолжают работать по https, как и вчера, а часть блокируется браузером с пометкой из сабжа.

Сертификат, напомню один для всех сайтов. FF и IE всё корректно отображают и сайты, и данные серта.

И вот что это и как править? Помогите советом, братцы.

Оптимизайка
На сайте с 11.03.2012
Offline
396
#6

StartSSL & WoSign RIP

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
G
На сайте с 17.08.2011
Offline
94
#7
Оптимизайка:
StartSSL & WoSign RIP

Да, слышал, но расслабился. Вроде как речь шла о сертах, выданных после 21 октября.

и выходит помер, но не совсем?.. Отчего этот же серт работает для одного из пачки прописанных в него доменов? Это два.

Оптимизайка
На сайте с 11.03.2012
Offline
396
#8
greymouse:
Вроде как речь шла о сертах, выданных после 21 октября.

Yes, you are right about that date. Unfortunately, some of my certificates issed before that date was also banned by Chrome (works in Firefox, however).

https://threatpost.com/google-to-distrust-wosign-startcom-certs-in-2017/121709/

Google says it reserves the right to fully distrust all of WoSign’s certs in future releases. Adding a sense of urgency to the situation, Whalley adds that in some instances, WoSign and StartCom customers may find their certificates don’t work at all in Chrome 56.

P.S. See also https://habrahabr.ru/post/325300/

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий