StartSSL証明書は、FirefoxではSEC_ERROR_REVOKED_CERTIFICATEを、ChromeではERR_CERT_AUTHORITY_INVALIDを提供します

既存のHTTPS証明書はまもなく期限切れになるため、新しい証明書を購入しました。ただし、適切にインストールするのは非常に困難です。*.deadsea.ostermiller.orgApache WebサーバーにインストールしようとしているStartSSLからのワイルドカード証明書があります。SSL用のApache設定は次のとおりです。

SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:+MEDIUM:!LOW:!aNULL:!eNULL
SSLCertificateFile /etc/apache2/ssl/2017-deadsea.ostermiller.org.crt
SSLCertificateKeyFile /etc/apache2/ssl/2017-stephen-ostermiller.key
SSLCertificateChainFile /etc/apache2/ssl/2017-startssl-class3-root-bundle.crt

これは、https：//www.startssl.com/Support？v = 21から入手した指示からのものです。 次に、Apacheを再起動し、正常に再起動します。その後、さまざまなブラウザーでhttps://test.deadsea.ostermiller.org/（404エラーが発生するはずです）にアクセスしようとしていますが、一部は機能していますが、一部は機能していません。

Curlは問題ありません：

$ curl -s --head https://test.deadsea.ostermiller.org/
HTTP/1.1 404 Not Found
Date: Wed, 01 Feb 2017 22:51:57 GMT
Server: Apache
Content-Type: text/html; charset=UTF-8

Qualys SSL LabsはそれをA-と評価し、「信頼できる」と言っています。

Microsoft Edgeブラウザーは正しいことを行います。

ChromeはNET :: ERR_CERT_AUTHORITY_INVALIDエラーを返します：

FirefoxはSEC_ERROR_REVOKED_CERTIFICATEエラーを返します：

Safariは、無効な発行者がいると言います。

何が間違っているのか、なぜブラウザ間でそれほど意見の相違があるのか​​？

悪い知らせがあります。StartSSLの証明書は、Chrome、Firefox、およびすぐに他のブラウザーによって信頼されなくなり、最初に新しく発行された証明書から始まります。StartSSLはもちろんこれを教えてくれず、新しい証明書を喜んで販売し、非常に怪しい行動パターンを続けます。

この時点で、私が推奨できるのは、cheapsslsecurity.comのような場所から別のワイルドカード証明書（Certbotを使用しない/使用できないと想定している場合）を購入することによる損傷制御です。提携はなく、以前の顧客であり、安価で使いやすいものでした。

新しい証明書はもう役に立たないので、交換する必要があります。

StartSSLは、これが部分的に失効したStartComルート証明書によるものであることを確認しました。彼らは再びブラウザによって完全に信頼されたルート証明書を取得することに取り組んでいます。2月末が最も早い時間枠になると思われるので、2週間で期限切れになる証明書を支援するのは間に合いません。:-(

宛先：Stephen Ostermiller、

この電子メールメッセージは、StartComの管理担当者によって作成されました。

こんにちは、

21.10.2016より前に発行されたすべての証明書は影響を受けません。2016年10月21日以降に発行された証明書は、Chrome、Firefox、およびSafariブラウザーでは信頼されていません。

不信に関する公式文書> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/

修正計画（https://bugzilla.mozilla.org/show_bug.cgi?id=1311832）に一生懸命取り組んでおり、できるだけ早く信頼を取り戻すためにあらゆることを行っています。すでに完全に完了した手順の1つ- -https://startssl.com/NewsDetails?date 20160919

暫定的な解決策には多少の遅れがありますが、詳細は2月後半になります。

ご不便をおかけして申し訳ありません。

このメールには返信しないでください。これは監視されていないメールアドレスであり、このメールへの返信には返信したり読んだりできません。質問やコメントがある場合は、ここをクリックしてください（（https://startssl.com/reply）して質問を送信して）

よろしく
StartCom™認証局

Qualys SSL Labs

Qualys SSL Labsがエラーを報告しない理由については、失効が通常の方法で処理されなかったため、特定のケースをハードコーディングする必要があるというスレッドをフォーラムで見つけました。彼らはまだそうしていませんが、そうするために開いているバグがあります。

CAは通常の失効ではなかったため、失効した証明書についてOCSPまたはCRLを見るだけで知る方法はありません。Mozilla、Google、Appleによると、StartComはいくつかの規則に違反していますが、StartComは主要な認証局の1つであるため、CA証明書を単純に取り消すにはあまりにも大きなアクションになるため、何百万ものWebページが機能しなくなります。彼らは、ブラウザの新しいバージョンから、このCAによって新しく発行された証明書の信頼を停止することを決定しました。これは2か月前に発表されたため、Web管理者は他のCAから新しい証明書を取得する時間がありました。

CAの変更を信頼しないことはブラウザの新しいバージョンでハードコードされているため、ssllabs.comで有用な結果を得るには、このルールもテストでハードコードする必要があります。最もきれいな解決策ではありませんが、唯一の解決策に見えます。

Firefox

Mozillaセキュリティブログ：新しいWoSignおよびStartCom証明書の不信

クロム

GoogleとChromeがWoSignおよびStartCom証明書を信用していない

Chromeは、これらの証明書をその後のブラウザのリリースで信頼できないものとして徐々に削除しています。

• Chrome 56は、2016年10月21日以降に発行されたすべての証明書を信頼しません。
• また、Chrome 57は、サイトがAlexaの上位100万サイトにない限り、すべての古い証明書を信頼しません。
• また、Chrome 58は、サイトがAlexaの上位500,000に入っていない限り、すべての古い証明書を信頼しません。
• クローム61 distrusts ALLの StartSSLとWoSignによって署名された証明書

サファリ

WoSign CA Free SSL Certificate G2のAppleおよびSafariのブロック信頼

StartComの終わり

シャットダウンについて、StartComから次のメールを受け取りました。

お客様各位、

ご存じのとおり、ブラウザーメーカーは1年ほど前にStartComを信頼していなかったため、StartComによって新たに発行されたすべてのエンドエンティティ証明書は、ブラウザーではデフォルトで信頼されていません。

ブラウザは、証明書が再受理されるためにいくつかの条件を課しました。StartComはこれらの条件が満たされていると考えていますが、今後も一定の困難が残っているようです。この状況を考慮して、StartComの所有者は、StartcomのWebサイトに記載されているように、認証機関として会社を終了することを決定しました。

StartComは、2018年1月1日から新しい証明書の発行を停止し、さらに2年間CRLおよびOCSPサービスのみを提供します。

StartComは、この困難な時期にご支援いただきありがとうございます。

StartComは、他のいくつかのCAに連絡して、必要な証明書を提供しています。代替手段を提供したくない場合は、certmaster @ startcomca.comまでご連絡ください。

移行プロセスについてさらにサポートが必要な場合はお知らせください。この問題によりご迷惑をおかけしましたことを深くおizeび申し上げます。

よろしく、StartCom証明機関