如何进一步检查火狐中的SEC_ERROR_REVOKED_CERTIFICATE？

Question

一个不受我控制的https网站会导致Firefox51中的错误消息SEC_ERROR_REVOKED_CERTIFICATE。CRL (嵌入在证书中的url)并不不信任站点证书。openssl s_client没有异议，其他具有TLS功能的客户端(Firefox50，MS )也没有异议。

问:如果只是让火狐告诉我问题出在哪里，什么才是解决问题的标准方法呢？(变通办法见下文)

Answer 1

通用故障排除：

https://www.ssllabs.com/ssltest/可以或者不包括关于链中证书的信任存储状态的声明。

欺骗：

手动检查新闻&发现创建证书的证书颁发机构受到mozilla的不信任，从问题的Firefox版本开始。就我而言，是StartCom/WoS传。

https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

手册检查：

1. 从hg.mozilla.org手动提取每个通道的mozilla受信任证书，例如使用https://github.com/curl/curl/blob/master/lib/mk-ca-bundle.pl
2. openssl verfiy -verbose -CAfile ca-bundle-channel-xyz.pem
3. 不同信道mozilla-release / mozilla-beta的比较结果

注意:这只会帮助完全删除根-但是mozilla有一个关于notBefore日期的特殊规则用于StartCom，这是不可见的。