StartSSL の証明書が使い物にならなくなっていた件

 

まあそうだよね。


無料でTLS証明書が発行できる認証局として長らく有名だったStartSSLのStartCom。しかし、不正をやらかした WoSign 傘下となっていた他にも、StartCom自体も加担していたとも話題になりました。

Re:ものはためしに (#3074431) | 中国大手SSL認証局で不正に証明書を取得できてしまう問題が明らかに | スラド

不正な証明書を発行した認証局WoSignとStartCom、トップが交代へ – Computerworldニュース:Computerworld

中国の認証局が不正な証明書、主要ブラウザが無効化を通告 – ITmedia エンタープライズ

そういや3年の証明書無料で発行できるようになってたんだっけ〜なんて甘いこと考えていたところ、そもそもそれを書いていたブログへアクセスしようとしたところで証明書エラーが発生。

StartCOMのStartSSL証明書が3年無料になりました « 鯖とスマフォのことを適当に

スクリーンショット 2017-02-13 9.09.43

どうやら既報の通り、先月リリースのFirefox51以降やChrome56以降では2016年11月以降に発行されたStartComの署名のある証明書はERR_CERT_AUTHORITY_INVALID(Chromeの場合)などでピンポイントで不正証明書として扱われるようになっている模様。

KeyChainは有効って言ってるのに……
Keychainは有効って言ってるのに……

どうやらこれを知らずに課金して涙目の人もいるようですね……

完全に闇に落ちていた StartSSL に ¥3,603 課金してしまったお話 / マスタカの ChangeLog メモ

このブログの証明書も現在StartComです。幸いにも6月発行なので免れましたが(それまでに発行した証明書は守るとの発表だったとおり),試しに新しく証明書を発行して差し替えてみたところ、見事に例の画面が。

……いますね、はまってる人。

はい。それがいいと思います。

Let’s encryptを使いましょう。自動更新できるし。

……それにも関わらず発行できてしまうのが罠


[追記]

Symantecがやらかした問題について、Symantecが発行する一部の証明書についてもWoSignと類似の処置を段階的に適用する方針をChrome, Firefoxの開発チームが発表しているようです。

(といっても、こっちは完全に無効化されるのではなく、EV証明書として効力を発さなくなったり、認められる証明書の有効期限が制限されるよう。)

Chromeについては、Chrome59から今年クリスマス頃にリリース予定の64にかけて段階的に規制対象が増えていく模様。


ところでStartcomに無駄無駄課金してしまった方、払い戻しは有るっぽいですね。

[ さらに追記 ]

StartCom は2017年末を持って証明書の発行を停止、2019年いっぱいで認証局としての効力を終了することを発表しているようですね。登録ユーザーには順次そのお知らせメールが配信されているようです。

個人的にはLet’s encrypt以外にもACMEに対応する認証局が出てきて欲しいところなのですが……

コメントを残す