StartCom SSL Zertifiket funktioniert nicht mit Firefox 51.0.1 (32-Bit)??

[Darkdevil]

Hallo.
Bis vor kurzem hatte ich mit meinem Start Com Class 1 DV CA Zertifikat keinerlei Probleme.
Mein Zertifikat ist gültig vom 09.01.2017 bis 08.01.2020
Status in der Synology Systemsteuerung "grün".

Aber seit heute ist mir aufgefallen, dass ich auf meine Domain mit dem aktuellen Firefox keinen Zugang mehr erhalte mit der Fehlermeldung:
SEC_ERROR_REVOKED_CERTIFICATE

Das kuriose, mit dem Internet Explorer und auch mit dem aktuellen Edge Browser komme ich problemlos auf meine Domain und dort werden diese auch als vertrauenswürdig akzeptiert.

Weiß jemand was da los ist? Und warum sich der Firefox als einzigster Browser sperrt?

 

[Andy14]

Zertifikats-Schmu bei WoSign und StartCom: Mozilla macht Ernst
https://www.heise.de/security/meldu...und-StartCom-Mozilla-macht-Ernst-3361574.html

 

[Darkdevil]

Danke für den Hinweis.
Das ja blöd
Kann mir jemand einen Tip zu einer kostenfreien Alternative geben?
Selbst signieren bringt mir nix.

---
Edit:
Ok, versuche es jetzt mal mit Let's encrypt, die bieten seit Dezember kostenlose Zertifikate an.

 

[HabNeFritzbox]

Bieten die schon länger an, und auch DSM kann es schon einige Zeit.

Muss nur Webserver der DS auch direkt erreichbar sein auf der Domain. Also für andere Gerät oder so klappt nicht.

 

[heavy]

Ja das mit dem Startcom ist echt doof, ich bin froh dass ich noch vor oktober meins verlängern konnte somit hab ich das 51er update noch überlebt da erst ab November/Dezember nicht mehr vertraut wird. Und hoffe dass sie bis zum nächsten Update wieder als vertrauenswürdig eingestuft sind.

 

[HabNeFritzbox]

Eher unwahrscheinlich, dauert länger bis Root Cert entsprechend alle Schritte durchlaufen sind überall wieder eingepflegt werden.

Würde von den einfach Abstand nehmen, lets encrypt kostet ja nichts.

 

[heavy]

Naja es ist ja bis Ende 2019 gültig und so lange sie (wie derzeit noch nicht angekündigt) nicht dem Wurzel Zertifikat das Vertrauen entziehen hat StartCom ja 2,5 Jahre Zeit wieder ein Vertrauen aufzubauen, was sie ja mit dem kompletten Personal Wechsel ja schon in die Wege geleitet haben.

Leider habe ich auf der DS auf der meine Webseite/Mailserver läuft noch DSM 5 am laufen da doch einiges nicht ging (und ich damit auf vieles hätte verzichten müssen, damals als 6 rauskam) und meine Webseite leider nicht upgrade fähig ist. Und ich sie so komplett neu gestalten müsste (Joomla mit 20 Usern) somit müsste ich lets encrypt selber über scripte fahren.


Edit:

Ok Hab diesen Beitrag jetzt auch nochmal gelesen und dort steht dass ab märz auch das Root Zertifikat nicht mehr gültig sein soll Ok dann werde ich mich doch langsam mal mit den Scripten beschäftigen müssen

 

[Fusion]

Hat schon jemand gelesen wie das mit Thunderbird etc mit email-Certs aussieht?
Da hatte ich alles schön eingerichtet und hatte mich auf 3 Jahre Laufzeit gefreut und jetzt.... LE ist da ja keine Alternative.
Ein paar habe ich jetzt mal auf Comodo umgestellt, da ist es halt wieder nur jährliche Klickorgie.

 

[HabNeFritzbox]

Habe auch nur Comodo, noch nichts anständiges gefunden.

Volksverschlüsselung ist für mich auch keine Option.

Wäre schön, wennn LE auch Email anbieten würde.

 

[Andy14]

...
Edit:

Ok Hab diesen Beitrag jetzt auch nochmal gelesen und dort steht dass ab märz auch das Root Zertifikat nicht mehr gültig sein soll Ok dann werde ich mich doch langsam mal mit den Scripten beschäftigen müssen

Auf der Mozilla Seite liest sich das jetzt nicht so das da ab März unbedingt ein harter Schnitt passiert!?
https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

Remove these affected root certificates from Mozilla’s root store at some point in the future. If the CA’s new root certificates are accepted for inclusion, then Mozilla may coordinate the removal date with the CA’s plans to migrate their customers to the new root certificates. Otherwise, Mozilla may choose to remove them at any point after March 2017.

 

[heavy]

Ja so hatte ich das eigentlich in den anderen Berichten auch gelesen, sollten sie sich nicht bemühen wieder Vertrauenswürdig zu sein dann kann Mozilla das machen. Und eben für die ersten glaubhaften Schritte hätten sie bis zum März zeit. Bzw sollten weitere Schummeleien auftauchen dann sind sie gleich weg. Naja wir werden es sehen.

 

[HabNeFritzbox]

Bei Apple sind die auch nur noch bedingt vertrauenswürdig. Von einem konkreten Enddatum steht da auch nichts.
https://support.apple.com/de-de/HT204132

Crome hat wohl auch noch Teils Ausnahmen die nach und nach entfernt werden.
http://www.golem.de/news/zertifikate-auch-google-wirft-wosign-und-startcom-raus-1611-124162.html

Also nicht nur auf Mozilla fokussieren, gibt ja auch noch andere.

 

[JuSu]

Einfach ein Let's Encrypt Zertifikat installieren.
Musss allerdings alle 3 Monate erneuert werden.

Wer eine kleine Hilfestellung benötigt:
Link hierzu:
https://www.youtube.com/watch?v=Nqze7opPt3I

Gruß
JuSu

 

[HabNeFritzbox]

Im Video steht DSM 6, der TE hat aber noch DSM 5.

Und muss nicht erneuert werden, bzw. zumindest nicht manuell, geschieht automatisch. Daher kann es einem egal sein ob Cert noch 3 oder 1 Monat hat.

 

[Darkdevil]

Korrekt. Habe bis vorhin noch DSM 5 drauf und wollte eigentlich nicht updaten.
Aber nachdem ich gesehen habe, wie einfach die Zertifikate mit DSM 6 erstellt werden können, habe ich mich getraut und heute auf DSM 6 gewechselt.
Jetzt stehen mir auch viele andere Programme zur Verfügung. Der Wechsel ist bis jetzt noch nicht bereut. Einzig meine Wordpress Seite macht mir ein wenig Sorgen, weil sich die tot lädt.

 

[HabNeFritzbox]

Gerade Wordpress profitiert von DSM 6, verwende dafür php7 und Apache 2.2.

 

[Darkdevil]

Ja mal gucken, die Wordpress Seite konnte ich nicht mehr reaktivieren und musste diese aus der letzten Sicherung vom letzten Mittwoch wieder rüberspielen.
Wordpress kommt mit solchen großen Updates anscheinend nicht klar, hatte ich in der Vergangenheit auch schon und genau deswegen spiegel ich den /web-Ordner 1x die Woche auf eine externe USB Platte die an der Syno angeschlossen ist. Hat sich jetzt auch mal gelohnt

Somit hat sich mein Zertifikatsproblem gelöst und noch ein paar andere Sachen die ich unbedingt auf der Syno haben wollte (Limesurvey, Office, Carddav, Calendar etc.)

 

[Nanuk]

Ich hab mich jetzt erstmal so beholfen, dass ich Im Zertifikatsmanager von Firefox einfach dem Ausstellerzertifikat von "StartCom Class 1 DV Server CA" das Vertrauen ausgesprochen habe und schon flutscht alles wieder wie vorher.
Ob sich StartCom wieder fängt oder ganz aus dem CA/Browser-Forum rausfliegt bleibt abzuwarten.

Gruß
Nanuk

 

[ssab]

Hallo zusammen, musste heute mein Server-Zertifikat erneuern, seitdem bringt Edge sowie Internet Explorer Fehlermeldungen bezüglich Vertrauen des Zertifikats. Wie geht es weitere mit StartCom?

 

[Frogman]

Das kann Dir wohl keiner so richtig sagen. Allen aktuell ausgestellten Zertifikaten der WoSign (von denen Startcom gekauft wurde) wird jedoch von Mozilla, Microsoft, Google und Apple kein Vertrauen ausgesprochen (siehe bspw. hier), in absehbarer Zeit werden dann auch die Root-Zertifikate aus den jeweiligen Truststores entfernt.

Du solltest daher auf andere Möglichkeiten umsteigen, also entweder Let's Encrypt oder ein Zertifikat der etablierten CA für wenig Geld.