StartSSL bunun kısmen iptal edilmiş StartCom kök sertifikası nedeniyle olduğunu doğruladı. Kök sertifikalarını tekrar tarayıcılar tarafından tamamen güvenilir hale getirmek için çalışıyorlar. Şubat sonunun en erken zaman dilimi olacağı anlaşılıyor, bu yüzden iki hafta içinde sona erecek olan bentlerime yardım etmek için zamanında değil. :-(
Nereye: Stephen Ostermiller,
Bu elektronik posta iletisi StartCom'un Yönetim Personeli tarafından oluşturuldu:
Merhaba,
21.10.2016 tarihinden önce verilen tüm sertifikalar etkilenmez. 21.10.2016 tarihinden sonra verilen sertifikalara Chrome, Firefox ve Safari tarayıcılarında güvenilmez.
Güvensizlik ile ilgili resmi belge> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
İyileştirme planı üzerinde çok çalışıyoruz ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ) ve ASAP güvenini yeniden kazanmak için her şeyi yapıyoruz. Tamamen tamamlanmış adımlardan biri - https://startssl.com/NewsDetails?date=20160919
Geçici bir çözümle ilgili bazı gecikmelerimiz var, ancak yalnızca daha sonra Şubat ayında daha fazla bilgiye sahip olacağız.
Bu durum için özür dileriz.
lütfen bu emaile cevap vermeyiniz. Bu, izlenmeyen bir e-posta adresidir ve bu e-postaya verilen yanıtlar yanıtlanamaz veya okunamaz. Herhangi bir sorunuz veya yorumunuz varsa, sorunuzu bize göndermek için Burayı tıklayın (( https://startssl.com/reply ), teşekkürler.
Saygılarımızla
StartCom ™ Sertifika Yetkilisi
Qualys SSL Laboratuvarları
Qualys SSL Labs'ın hatayı neden bildirmediğine gelince , forumlarında iptalin normal şekilde ele alınmadığı için belirli bir vakayı kodlamak zorunda kalacaklarını söyleyen bir konu buldum . Henüz yapmadılar, ama açık bir hata var .
CA normal olarak iptal edilmedi, bu nedenle iptal edilen sertifikalar için sadece OCSP veya CRL'ye bakmanın bir yolu yoktur. StartCom'un Mozilla'ya göre, Google ve Apple birkaç kuralı ihlal etti, ancak StartCom önde gelen sertifika yetkililerinden biri olduğundan, CA sertifikasını iptal etmek çok büyük bir eylem olurdu, milyonlarca web sayfası çalışmayı bırakacaktı. Tarayıcının yeni sürümünden başlayarak bu CA tarafından verilen yeni sertifikalara güvenmeyi bırakacaklarına karar verdiler. Bu, iki ay önce duyuruldu, bu nedenle web yöneticilerinin diğer CA'dan yeni sertifika almak için zamanları oldu.
Bu, CA değişikliğine güvenmemek için tarayıcıların YENİ sürümlerinde sabit olarak kodlanmıştır, bu nedenle ssllabs.com'da bazı yararlı sonuçlar elde etmek için, bu kuralların testte de sabit kodlanmış olması gerekir. En güzel çözüm değil, ama tek görünüyor.
Firefox
Mozilla Güvenlik Blogu: Yeni WoSign ve StartCom Sertifikalarına Güvensizlik
Krom
Google ve Chrome'a Güvensiz WoSign ve StartCom Sertifikaları
Chrome, sonraki tarayıcı sürümleriyle bu sertifikalara güvenmekten giderek uzaklaşıyor .
- Chrome 56, 21 Ekim 2016'dan sonra verilen tüm sertifikalara güvenmez.
- Site 57, Alexa en iyi bir milyon sitede yer almadığı sürece Chrome 57 de tüm eski sertifikalara güvenmiyor.
- Chrome 58, site Alexa'nın en büyük 500.000 sürümünde olmadığı sürece tüm eski sertifikaları da rahatsız ediyor.
- Krom 61 güvenmiyor TÜM startssl ve WoSign tarafından imzalı sertifikalar
Safari
WoSign CA Ücretsiz SSL Sertifikası G2 için Apple ve Safari Engelleme Güven
StartCom'un sonu
StartCom'dan kapatılmalarına ilişkin aşağıdaki e-postayı aldım:
Değerli müşterimiz,
Kesinlikle bildiğiniz gibi, tarayıcı üreticileri StartCom'a yaklaşık bir yıl önce güvenmediği için, StartCom tarafından yeni verilen tüm son varlık sertifikalarına tarayıcılarda varsayılan olarak güvenilmiyor.
Tarayıcılar, sertifikaların yeniden kabul edilebilmesi için bazı koşullar getirmiştir. StartCom bu koşulların karşılandığına inanıyor olsa da, ortaya çıkacak bazı zorluklar var gibi görünüyor. Bu durum göz önüne alındığında, StartCom sahipleri şirketi Startcom web sitesinde belirtildiği gibi bir Sertifika Yetkilisi olarak feshetmeye karar verdiler.
StartCom, 1 Ocak 2018'den itibaren yeni sertifikaların verilmesini durduracak ve iki yıl daha yalnızca CRL ve OCSP hizmetleri sunacaktır.
StartCom bu zor zamanda desteğiniz için teşekkür eder.
StartCom, size gerekli sertifikaları sağlamak için başka CA'larla bağlantı kuruyor. Size bir alternatif sunmamızı istemiyorsanız, lütfen certmaster@startcomca.com adresinden bize ulaşın.
Geçiş işlemiyle ilgili daha fazla yardıma ihtiyacınız olursa lütfen bize bildirin. Bunun neden olabileceği aksaklıklar için özür dileriz.
Saygılarımızla, StartCom Sertifika Yetkilisi