StartSSL xác nhận rằng điều này là do chứng chỉ gốc StartCom bị thu hồi một phần. Họ đang làm việc để có được chứng chỉ gốc của họ được các trình duyệt tin cậy hoàn toàn một lần nữa. Có vẻ như cuối tháng Hai sẽ là khung thời gian sớm nhất, vì vậy không kịp để giúp các certs của tôi hết hạn sau hai tuần nữa. :-(
Kính gửi: Stephen Ostermiller,
Thông điệp thư điện tử này được tạo bởi Nhân viên quản trị của StartCom:
Xin chào,
Tất cả các chứng chỉ được cấp trước ngày 21.10.2016 không bị ảnh hưởng. Chứng chỉ được cấp sau ngày 21.10.2016 không tin cậy trong trình duyệt Chrome, Firefox và Safari.
Tài liệu chính thức về sự không tin tưởng> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certert/
Chúng tôi đang nỗ lực trong kế hoạch khắc phục ( https://ormszilla.mozilla.org/show_orms.cgi?id=1311832 ) và chúng tôi đang làm mọi thứ để lấy lại niềm tin càng sớm càng tốt. Một trong những bước đã được thực hiện đầy đủ - https://startssl.com/NewsDetails?date=20160919
Chúng tôi có một số chậm trễ với một giải pháp tạm thời nhưng sẽ có thêm thông tin chỉ sau đó vào tháng Hai.
Xin hãy tha lỗi cho chúng tôi vì sự bất tiện này.
Xin đừng trả lơi thư này. Đây là một địa chỉ email không được giám sát và trả lời email này có thể được trả lời hoặc đọc. Nếu bạn có bất kỳ câu hỏi hoặc nhận xét nào, chỉ cần nhấp vào đây (( https://startssl.com/reply ) để gửi câu hỏi của bạn cho chúng tôi, cảm ơn.
Trân trọng
Tổ chức chứng nhận StartCom ™
Phòng thí nghiệm SSL Qualys
Về lý do tại sao Qualys SSL Labs không báo cáo lỗi, tôi đã tìm thấy một chủ đề trong diễn đàn của họ nói rằng họ sẽ phải mã hóa một trường hợp cụ thể cho trường hợp đó vì việc thu hồi không được xử lý theo cách thông thường. Họ chưa làm như vậy, nhưng họ có một lỗi mở để làm như vậy .
CA không bị thu hồi thông thường, vì vậy không có cách nào để biết chỉ nhìn vào OCSP hoặc CRL cho các chứng chỉ bị thu hồi. StartCom đã theo Mozilla, Google và Apple đã vi phạm một số quy tắc, nhưng vì StartCom là một trong những cơ quan cấp chứng chỉ hàng đầu nên sẽ chỉ cần thu hồi chứng chỉ CA, hàng triệu trang web sẽ ngừng hoạt động. Họ quyết định rằng họ sẽ ngừng tin tưởng các chứng chỉ mới được cấp bởi CA này bắt đầu với phiên bản trình duyệt mới. Điều này đã được công bố như hai tháng trước, vì vậy các quản trị viên web đã có thời gian để nhận chứng chỉ mới từ các CA.
Điều này không tin tưởng vào sự thay đổi của CA được mã hóa cứng trong các phiên bản MỚI của trình duyệt, vì vậy để có một số kết quả hữu ích trên ssllabs.com, quy tắc này cũng cần được mã hóa cứng trong thử nghiệm. Không phải là giải pháp pretties nhất, nhưng nó trông là duy nhất.
Firefox
Blog bảo mật Mozilla: Chứng nhận WoSign và StartCom mới đáng tin cậy
Trình duyệt Chrome
Chứng chỉ WoSign và StartCom đáng tin cậy của Google và Chrome
Chrome đang dần dần không tin tưởng các chứng chỉ này với các bản phát hành trình duyệt tiếp theo .
- Chrome 56 làm mất tập trung tất cả các chứng chỉ được cấp sau ngày 21 tháng 10 năm 2016.
- Chrome 57 cũng làm mất tập trung tất cả các chứng chỉ cũ trừ khi trang web này nằm trong top một triệu trang web của Alexa.
- Chrome 58 cũng làm mất tập trung tất cả các chứng chỉ cũ trừ khi trang web nằm trong top 500.000 của Alexa.
- Chrome 61 làm mất tập trung TẤT CẢ các chứng chỉ được ký bởi StartSSL và WoSign
Safari
Apple và Safari Chặn niềm tin cho WoSign CA Chứng chỉ SSL miễn phí G2
Sự kết thúc của StartCom
Tôi đã nhận được email sau từ StartCom về việc họ đóng cửa:
Khách hàng thân mến,
Như bạn chắc chắn biết, các nhà sản xuất trình duyệt không tin tưởng StartCom khoảng một năm trước và do đó, tất cả các chứng chỉ thực thể cuối cùng do StartCom cấp mới không được tin cậy theo mặc định trong các trình duyệt.
Các trình duyệt áp đặt một số điều kiện để chứng chỉ được chấp nhận lại. Mặc dù StartCom tin rằng những điều kiện này đã được đáp ứng, nhưng có vẻ như vẫn còn những khó khăn nhất định sắp tới. Xem xét tình huống này, chủ sở hữu của StartCom đã quyết định chấm dứt công ty với tư cách là Tổ chức chứng nhận như được đề cập trong trang web của Startcom.
StartCom sẽ ngừng cấp chứng chỉ mới bắt đầu từ ngày 1 tháng 1 năm 2018 và sẽ chỉ cung cấp dịch vụ CRL và OCSP trong hai năm nữa.
StartCom xin cảm ơn sự hỗ trợ của bạn trong thời gian khó khăn này.
StartCom đang liên hệ với một số CA khác để cung cấp cho bạn các chứng chỉ cần thiết. Trong trường hợp bạn không muốn chúng tôi cung cấp cho bạn một giải pháp thay thế, vui lòng liên hệ với chúng tôi tại certmaster@startcomca.com
Vui lòng cho chúng tôi biết nếu bạn cần thêm trợ giúp trong quá trình chuyển đổi. Chúng tôi xin lỗi sâu sắc vì bất kỳ sự bất tiện nào mà điều này có thể gây ra.
Trân trọng, Cơ quan chứng nhận StartCom