Sec error revoked certificate

If you’re seeing a “Secure Connection Failed’ page with the error
message “SEC_ERROR_REVOKED_CERTIFICATE” while visiting a website, use the
following steps to get rid of the error page and access the website.

When a website’s SSL/TLS certificate gets revoked for any reason, the browser doesn’t consider it secure and shows the “SEC_ERROR_REVOKED_CERTIFICATE” error page.

Why an SSL/TLS certificate gets revoked?

• When a website’s private key gets compromised.

• When the certificate authority (CA) mis-issues an SSL certificate. For example, in March 2019, millions of SSL certificates were revoked by Apple, Google, and GoDaddy because of non-compliant SSL serial numbers that were generated as the result of an operational error. The certificates had 63-bit serial numbers instead of 64-bit serial numbers.
• If the website owners themselves request the CA to revoke the SSL certificate because,
  • They’ve lost the private key,
  • They changed the certificate’s common name,
  • The secured site is no longer operational, or
  • They have requested the certificate for the wrong domain name by mistake.

How to Fix “Secure Connection Failed” Page with “SEC_ERROR_REVOKED_CERTIFICATE” Error in Mozilla Firefox?

If you’re a website owner, you must ask your certificate authority to reissue a new SSL certificate. Some CAs charge additional re-issuance fees. If the re-issuance fee is higher than the cost of purchasing a new certificate, you can change CAs anytime and get a new SSL from a different certificate authority.

Reissuance is free if you buy Sectigo (formerly Comodo CA) SSL certificate. The basic Comodo DV SSL starts from $10/year and comes with a $50,000 warranty.

If you’re a website visitor, you can compel your
browsers to ignore the error and visit the website on
your own risk by following these steps.

You won’t necessarily need to implement all of these steps. Keep
applying them one by one until the error message is eliminated. 

1. Add the Site to Your List of Trusted Sites

• Search for Internet Options in the Windows search bar.
• In the pop-up window, click on the Security tab.
• Select Trusted sites.
• Click on the Sites button to open a new window.
• Manually add the URL of the website that is displaying the error message.
• Click Apply and OK.

2. Temporarily Disable Your Antivirus and Firewall

Some antivirus and firewall solutions are sensitive to SSL errors. To address this issue, all you need to do is turn off HTTPS scanning. All antiviruses have different SSL scanning under different names. Find the appropriate setting such as “HTTPS Scanning,” “Scan SSL”, “show safe result,” “Do not scan encrypted connections,” etc.,and disable it.

If you don’t see any such options, visit the manufacturer’s help section and try to find SSL- and HTTPS-related settings information there.

3. Clear the SSL State

• Search for Internet Options in the Windows search bar.

• In the pop-up window, select the Content tab.
• Click on Clear SSL State to clear your SSL cache.

4. Clear Your Browsing History

• Open Firefox and navigate to Options in the top-right drop-down menu.
• Go to Privacy and Security from the menu bar on the left side.
• Click on Clear Data in the Cookies and Site Data section.
• Select Clear History.
• Select all the options and click on Clear Now.

5. Permit Firefox to Trust Root Authorities

Firefox has an optional feature that allows the browser to trust root authorities in the Windows certificate store. To activate this feature, you must enable the setting in your browser.

• Type “about: config” into the Firefox address bar.
• Press the I accept the risk! button.
• Search for security.enterprise_roots.enabled.

• In the security.enterprise_roots.enabled window, look to the right side of the screen. If the value is False, double-click on it. The value will get changed to True.
• Restart Firefox.
• If you still see the error message, move to the next solution.

6. Change Your Security Settings

• Type Command Prompt or CMD into the Windows search bar.
• Right-click on Command Prompt and select Run as Administrator.

Type in these three commands, hitting Enter after each one:

Regsvr32 softpub.dll

Regsvr32 Wintrust.dll

Regsvr32 Wintrust.dll

• Reboot your computer. The changes will be saved.

Encryption Resources

• Hashing vs Encryption — The Big Players of the Cyber Security World
• SSL vs TLS: Decoding the Difference Between SSL and TLS
• IP Leak Test — Quick Tips to Check Whether Your IP Is Leaking
• Comodo CA is now Sectigo: FAQs
• 5 Differences Between Symmetric vs Asymmetric Encryption
• What Is Asymmetric Encryption & How Does It Work?

What Is an S/MIME Certificate and How Does It Work?

Troubleshooting Guides

• How to Resolve SSL_ERROR_RX_RECORD_TOO_LONG as a Site Visitor
• How to Fix the ERR_SSL_PROTOCOL_ERROR in 8 Easy Steps (2020 Edition)

Совсем недавно прошла волна с проблемами цифровых аттестатов у пользователей Гугл Хром, теперь на очереди браузер Firefox от компании Mozilla. При попытке открыть ссылку выдается следующее: sec_error_revoked_certificate с сообщением «ошибка при установлении защищённого соединения» и «Сертификат узла был отозван». Остальные браузеры включая Хром, Сафари и Interner Explorer вполне нормально открывают данные ресурсы.
Многие пользователи пытались исправить проблему стандартными способами:

• Чистка кеша/куки средствами браузера;
• Добавление ресурса в исключения;
• Отмена запрос OCSP-серверов (крайне не рекомендуем делать этого в дальнейшем);
• Заходили с другого профиля в приватных окнах;
• Отключали антивирус;
• Переустановка браузера;
• Чистка с помощью ccleaner;

Стандартные методы борьбы с погрешностями незащищенного соединения зачастую не помогают, так как эта беда появляется на порталах, которые используют цифровые свидетельства безопасности центра сертификации WoSign, которые имеют ряд технических проблем и неоднократно были замечены в махинациях с цифровыми аттестатами, более подробно мы расскажем далее.

Причина данной ошибки именно с проблемными сертификатами, об этом компания Mozilla заявила в официальном отчете о багах и уязвимостях на своем форуме. Компания WoSign приобрела в полную собственность центр аттестации StartCom. Центры должны были уведомить о слиянии как того требует политика компании Мозилла. Замечено, что центры выдавали SSL-сертификаты с просроченным сроком действия, которые должны были быть изъяты с 1 января 2017 года. Обе компании WoSign и StartCom отрицают данные факты, однако и не опровергают их. И поскольку данные свидетельства являются корневыми, было принято решение заблокировать доступ к ресурсам с выпуском 51го обновления браузера, в версии 51.0.1 и выше.
Соответственно после обновления пользователей до 51 сборки, файрфокс перестал открывать сайты с удостоверениями от WoSign и StartCom. Обе компании могут повторно подать заявку на рассмотрение, да бы включить и заменить в будущем свои корневые удостоверения.
Ознакомиться с полной версией отчета можно по ссылке: Ссылка на страницу отчета.
Но что же делать простым пользователям при попытке открыть ссылку?

sec_error_revoked_certificate как исправить

Вариантов несколько: ждать обновления браузера в котором Mozilla добавит электронные аттестаты в список исключений. Либо центры StartCom и WoSign выпустят обновленные свидетельства соответствующие заявленным требованиям.
Для пользователей желающим продолжить работу с сайтами можно порекомендовать следующее:

• Использовать альтернативные версии интернет-браузеров Хром, Internet Explorer, Яндекс браузер, Сафари;
• Откатить(или переустановить) файрфокс, нам подойдут все релизы браузеров до 51й сборки. Качайте из хранилища и устанавливайте: Предыдущие сборки браузера Firefox;
• Не обновляйте браузер, пока ситуация с сертификацией не разрешится;

Если вы уверены в посещаемых адресах и ресурсах, можно вручную подтвердить исключения безопасности, для этого:

• Открываем Настройки браузера. Выбираем вкладку «Дополнительные», далее Сертификаты — Просмотр сертификатов;
• В списке находим пункт StartCom Class 1 DV Server CA нажимаем на пункт «Изменить доверие«;

  

  Сертификат может служить для идентификации сайтов

• Ставим галочку на пункте Этот сертификат может служить для идентификации веб-сайтов и радуемся жизни;
• Если данного пункта нет, открываем сайт удостоверяющего центра startssl.com и переходим на вкладку «Intermediate CA Certificates», там нажимаем StartCom Class 1 DV Server CA и Доверять при идентификации сайтов.

  

  Скачиваем StartCom Class 1 DV Server CA

Если вы, как и компания Mozilla не доверяете этому удостоверяющему центру, можете импортировать эти удостоверения и заменить на другие, например от Let’s Encrypt letsencrypt.org.
Надеюсь вы разобрались с проблемой sec_error_revoked_certificate и знаете что делать и как исправить эту ошибку.
На видео еще один вариант исправления проблемы по другому пути:

Пользователи ряда браузеров (наиболее часто это Firefox и Chrome) при попытке перехода на какой-либо сайт могут столкнуться с сообщением «SEC_ERROR_REVOKED_CERTIFICATE». При этом на альтернативных браузерах (Opera, Safari) данная ошибка не возникает, и содержимое указанных сайтов просматривается без проблем. В данном материале я расскажу, в чём суть и причины данной дисфункции, а также поясню, как её исправить.

История сертификатов StartSSL

Свободные сертификаты StartSSL центра сертификации «StartCom» длительное время использовались в работе большинства современных браузеров.

30 сентября 2016 года в процессе проверки деятельности китайского центра сертификации «WoSign» компания «Apple» заявила, что в связи с найденными злостными нарушениями в работе «WoSign» программное обеспечение «Apple» не будут принимать сертификаты «WoSign», выданные после 19 сентября 2016 года. Все дальнейшие изменения в данном вопросе будут зависеть от дальнейшего прогресса в расследовании деятельности «WoSign».

24 октября 2016 года корпорация «Мозилла» (разработчик одноимённого браузера) заявила, что ей стало известно о покупке центра сертификации «StartCom». Покупателем оказался уже упомянутый выше центр сертификации «WoSign», ранее обвинённый в злоупотреблениях выдачи сертификатов (выдача сертификатов задним числом, выдача без должных проверок и верификации и так далее). На основании этой информации Мозилла решила прекратить доверие сертификатам «StartCom», выданным после 21 октября 2016 года, и реализованных в Firefox 51.

01 ноября 2016 года компания «Google» объявила, что она также перестаёт доверять сертификатам «StartCom», выданным после 21 октября 2016 года, и реализованным в Chrome 56.

Причины ошибки SEC_ERROR_REVOKED_CERTIFICATE

В переводе с английского языка текст данной ошибки звучит как «Ошибка безопасности, отозванный сертификат». Обычно это означает ситуацию, при которой пользователь переходит на сайт, сертификат которого входил в число сертификатов StartSSL центра сертификации «StartCom», работа с которыми была прекращена разработчиками некоторых браузеров (в частности, Mozilla Firefox и Google Chrome).

Как исправить ошибку SEC_ERROR_REVOKED_CERTIFICATE

Поскольку данная проблема носит не локальный, а системный характер, то рекомендую попросту использовать другой браузер, разработчики которого продолжают доверять сертификатам «StartCom» и «WoSign» (Opera, Safari, IE). На таких браузерах переход на проблемные сайты осуществляется в нормальном режиме, и всё содержимое указанных ресурсов просматривается без каких-либо проблем. Аналогичной ошибку является NET::ERR_CERT_AUTHORITY_INVALID.

В ином случае пользователям браузера Firfox могу также порекомендовать следующее:

1. Перейдите в настройки вашего браузера, выберите вкладку «Дополнительные», кликните там на вкладке «Сертификаты», и уберите галочку с опции «Запрашивать у OCSP-серверов подтверждение текущего статуса сертификатов»;
2. Если это не помогло, тогда вновь идём в настройки Мозиллы, вкладка «Дополнительные», в ней вкладка «Сертификаты», жмём на кнопку внизу «Просмотр сертификатов». Находим в списке «StartCom Class 1 DV Server CA», кликаем единожды на данной строчке, а затем жмём на кнопку внизу «Изменить доверие». В появившемся меню ставим галочку напротив пункта «Этот сертификат может служить для идентификации веб-сайтов». После этого вопрос о «sec_error_revoked_certificate что делать» может быть решён.

Также можно порекомендовать временно отключить ваш антивирус, в некоторых (довольно редких) случаях данную проблему вызывало блокирование антивирусом доступа к сетевым ресурсам. Также стоит проверить корректность даты и времени на вашем ПК, иногда сбой в работе системных часов становился причиной множества сетевых проблем.

Заключение

Главной причиной возникновения данной ошибки является прекращение разработчиками некоторых браузеров поддержки сертификатов упомянутых центров сертификации «StartCom» и «WoSign». Рекомендуется использовать альтернативные браузеры (Safari, Opera, IE) для просмотра содержимого таких сайтов, что также поможет в вопросе о том, как исправить ошибку  «SEC_ERROR_REVOKED_CERTIFICATE». Воспользуйтесь перечисленными выше советами, и вы сможете просматривать содержимое нужных вам сайтов без каких-либо проблем.

This article applies to Firefox, Thunderbird, Mozilla Suite and SeaMonkey.

A security exception is a way to tell Thunderbird that you understand that there is something wrong with the SSL certificate but you’ve decided that you’re willing to take the risk, so Thunderbird should make the secure connection anyways and not bother you about it anymore (unless it gets a different bad certificate later on). If you add a permanent security exception and keep getting prompted to add the same security exception again and again, the certificate store may be corrupt. Use Help -> Troubleshooting Information -> Show Folder to open Windows Explorer (your file manager) at your profile, exit Thunderbird, and then delete the cert8.db file. It stores the security certificates. When you restart Thunderbird it should create a new «certificate store» with default values (certificates). A side effect of this is that you will lose any certificates or security exceptions that you had added. [1]

Thunderbird version 60 and later will treat all Symantec (including all Symantec brands such as GeoTrust, RapidSSL, Thawte, and VeriSign) certificates as invalid. Browser vendors (such as Mozilla) no longer trust those certificates after several irregularities were discovered. You will normally get a MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED error but might get a SEC_ERROR_UNKNOWN_ISSUER error instead. [2] [3]

Domain Name Mismatch or Server Certificate Expired

«Security Error: Domain Name Mismatch» occurs if you make a secure connection to a server whose domain does not match the domain name in the certificate that it returned. This means that the web site/server you are using may not be the one you wanted. It can also occur when they change their domain but don’t buy a certificate for the new domain.

«Security Error: Server Certificate Expired» occurs if the certificate expiration date is later than your system date. This may be caused by your system having the incorrect time (perhaps you are traveling and are in a different time zone) , or the certificate is too old (it expired).

In both cases, you need to decide whether or not you think you are actually connected to whatever you tried to connect to. Usually it is due to an oversight or an error (an admin installed the wrong SSL certificate when they replaced a expired certificate) and it gets fixed in a couple of days. Sometimes it is due to somebody being too cheap to replace a SSL certificate when they change domains. Unfortunately it could also be due to somebody trying to capture your username/password when you login, or your credit card number when you buy something on a web site.

If you are using your ISP as your email provider don’t guess, call their help desk and find out if they already know about your problem. If they give you any pushback about Thunderbird not being an officially supported email client try to duplicate the problem using Firefox to log into webmail. If you can’t call your email provider, try browsing their support forums to see if other people have the same problem.

If you decide its nothing to worry about, check the checkbox to create a security exception so that it stops warning you. Obsolete versions may not support adding a security exception. In that case install the Remember Mismatched Domains extension for Firefox, Thunderbird 2.x, or SeaMonkey. It adds a «Don’t warn me again about this certificate for this domain» checkbox to the Domain Name Mismatch and Server Certificate Expired warning windows.

If you get an error message stating that the certificate is not trusted because the issuer certificate is unknown or the web site is certified by an unknown authority it is complaining that it can’t find the Certificate Authority (CA) certificate for that SSL certificate. Press the View Certificate button, look at the certificate, and find out who who is the Certificate Authority by looking at the Organization listed in Issued By. You might also want to make a secure connection to webmail (a web page provided by your email provider that is used to read/send mail) using Firefox, click on the icon in the address bar, and then press the «more information» button to view the details of its certificate. Frequently the same SSL certificate is used in both Thunderbird and Firefox.

Use Tools -> Account Settings -> an_account_name -> Security -> View Certificates -> Authorities in Thunderbird and look for a certificate for that CA. If you find it check that its still valid. If you can’t find one try to find a CA certificate that you can import. For example, if the SSL certificate uses «Symantec Class 3 Secure Server SHA256 SSL CA» as the CA you can download that CA certificate from the Symantec Intermediate CA (ICA) Certificates web site and then import it using the Thunderbird certificate manager (Tools -> Account Settings -> an_account_name -> Security -> View certificates -> Import). [4]

If its invalid check that the date on your computer is correct. It sounds unlikely but sometimes its set for the wrong year, which might cause the CA certificate to become invalid. If the CA certificate looks valid you can add a security exception for your email providers SSL certificate using Tools -> Account Settings -> an_account_name -> Security -> View Certificates -> Servers -> Add Exception to get rid of the error messages. However, its recommended that you contact your email provider to try to find out why that problem is happening. [5]

If you are using Avast!, upgraded from an earlier version of Avast to Avast 2014, and didn’t disable the «mail shield» the error can be caused by Avast! rooting your certificates in order to scan email sent over a SSL connection (a benign man in the middle attack). Try importing a mail shield certificate to workaround that problem. [6]

Revoked Certificate

If you get an error message about the certificate being revoked (sec_error_revoked_certificate) that means that its invalid and should not be used.

Older versions of Thunderbird never checked whether the certificate was revoked. However, Thunderbird 3.1.2 and later do, so you may find when you upgraded all of a sudden your secure connection failed. You can disable checking whether its revoked by setting security.OCSP.enabled to 0 using the Config editor. It typically defaults to 1. Since its your email provider that marked it as invalid, yet they’re still using it, contact them and find out whats going on.

Certificate is not trusted, because it hasn’t been verified by a recognized authority using a secure signature

Usually this means you need to import a certificate for the Certificate Authority (CA) used by the SSL certificate. However, Thunderbird 16 and later considers any certificates that use a MD5 hash invalid. You can override this by setting security.enable_md5_signatures true using the config editor, though the real solution is for your email provider to use a secure hash. [7]

Incorrect use of wild cards in certificate

This problem occurs if your email provider uses a load balancing router to automatically select one of several mail servers, and doesn’t use the right syntax to specify that the certificate applies to more than one host.

Thunderbird 2.* had a bug where it accepted a wild card for more than one atom in the hostname in a certificate. i.e. *.mail.dreamhost.com was accepted for a a1.postal.mail.dreamhost.com host, when it really should have specified *.postal.mail.dreamhost.com. Thunderbird 3 is stricter and rejects that as a invalid hostname. You can workaround this by
setting the environmental variable NSS_USE_SHEXP_IN_CERT_NAME to 1 before starting Thunderbird, and use the Remember Mismatched Domains add-on to avoid getting prompted every time. [8]

Thunderbird SSL/TLS bug fix exposes bugs in many protocol implementations

Thunderbird 10.0 has a bug fix [9] in its SSL/TLS implementation that is compliant with all versions of the SSL/TLS protocols and compatible with other SSL implementations (such as OpenSSL). However, many products have bugs in their SMTP, IMAP, POP, LDAP, and/or HTTP code in how they parse what the client sends them. Those bugs used to be hidden until this bug fix. An example is using Merak IceWarp version 10.3.5 as a IMAP server. [10]

A temporary workaround until your mail servers are updated is to : Temporarily put NSS_SSL_CBC_RANDOM_IV=0 in the environment on their local machine. (The best way to do this would be to create a batch file that sets NSS_SSL_CBC_RANDOM_IV=0 and then runs Thunderbird, because this limits the scope of the workaround to just Thunderbird. However, if that is too difficult, you can change the environment for all software you run. On Windows 7 (and probably Vista), you can do this through the UI you can find by typing «Edit environment variables for your account» into the Start Menu’s search box.

Ports

SSL certificates are normally only used with certain ports. If you get this error for a port that is normally used by a different protocol or a insecure connection, be suspicious.

*Note: These ports can be «upgraded» to secure connections after initially being established as insecure, using the STARTTLS protocol.

• Support network-fetched cert import in Servers tab of Cert Mgr («Add Exception» dialog)
• Add security exception» dialog is useless talks about the security exception not working due to a missing realhostname, and how you can get it to work by adding it.

See Also

• CA certificate
• Known vulnerabilities
• Secure Connections

External Links

• A useful talk about how SSL certificates work, why CA’s are a problem, and a evaluation of some alternatives
• Network Security Services (NSS)
• SSL error codes
• SSL And The Future Of Authenticity
• SSL/TLS deployment best practices
• The Qualys SSL Server Test performs a deep analysis of the configuration of any SSL web server. While it tests the web server, the mail server is typically configured the same way.