StartSSL a confirmé que cela était dû au certificat racine StartCom partiellement révoqué. Ils travaillent à nouveau à obtenir leur certificat racine entièrement approuvé par les navigateurs. Il semble que la fin du mois de février serait la première période, donc pas à temps pour aider mes certificats qui expirent dans deux semaines. :-(
À: Stephen Ostermiller,
Ce message électronique a été créé par le personnel administratif de StartCom:
Bonjour,
Tous les certificats délivrés avant le 21.10.2016 ne sont pas affectés. Les certificats émis après le 21.10.2016 ne sont pas fiables dans les navigateurs Chrome, Firefox et Safari.
Document officiel sur la méfiance> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
Nous travaillons dur sur le plan de correction ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ), et nous faisons tout pour regagner la confiance dès que possible. Une des étapes déjà entièrement accomplie - https://startssl.com/NewsDetails?date=20160919
Nous avons quelques retards avec une solution provisoire, mais nous n'aurons plus d'informations que plus tard en février.
Veuillez accepter nos excuses pour la gêne occasionnée.
S'il vous plait ne répondez pas à cet email. Il s'agit d'une adresse e-mail non surveillée et les réponses à cet e-mail ne peuvent pas être répondues ou lues. Si vous avez des questions ou des commentaires, cliquez simplement ici (( https://startssl.com/reply ) pour nous envoyer votre question, merci.
Cordialement,
Autorité de certification StartCom ™
Labs SSL Qualys
Quant à savoir pourquoi Qualys SSL Labs ne signale pas l'erreur, j'ai trouvé un fil dans leurs forums qui dit qu'ils devraient coder en dur un cas spécifique car la révocation n'a pas été traitée de la manière normale. Ils ne l'ont pas encore fait, mais ils ont un bogue ouvert pour le faire .
L'autorité de certification n'a pas été révoquée ordinaire, il n'y a donc aucun moyen de savoir simplement en regardant OCSP ou CRL pour les certificats révoqués. Selon Mozilla, Google et Apple ont enfreint plusieurs règles de StartCom, mais parce que StartCom est l'une des principales autorités de certification, il serait tout simplement trop important de simplement révoquer le certificat de l'autorité de certification, des millions de pages Web cesseraient de fonctionner. Ils ont décidé de ne plus faire confiance aux nouveaux certificats émis par cette autorité de certification à partir de la nouvelle version du navigateur. Cela a été annoncé il y a deux mois, les administrateurs Web ont donc eu le temps d'obtenir un nouveau certificat d'une autre autorité de certification.
Cela pour ne pas faire confiance au changement de CA est codé en dur dans les NOUVELLES versions de navigateurs, donc afin d'avoir des résultats utiles sur ssllabs.com, ces règles doivent également être codées en dur dans le test. Pas la solution la plus jolie, mais elle semble la seule.
Firefox
Blog sur la sécurité de Mozilla: se méfier des nouveaux certificats WoSign et StartCom
Chrome
Google et Chrome se méfient des certificats WoSign et StartCom
Chrome supprime peu à peu ces certificats avec les versions ultérieures du navigateur .
- Chrome 56 se méfie de tous les certificats émis après le 21 octobre 2016.
- Chrome 57 se méfie également de tous les anciens certificats, sauf si le site se trouve dans le million de sites Alexa.
- Chrome 58 se méfie également de tous les anciens certificats, sauf si le site figure dans le top 500 000 d'Alexa.
- Chrome 61 se méfie de TOUS les certificats signés par StartSSL et WoSign
Safari
Apple et Safari Blocking Trust pour WoSign CA Free SSL Certificate G2
La fin de StartCom
J'ai reçu l'e-mail suivant de StartCom à propos de leur fermeture:
Cher client,
Comme vous le savez sûrement, les fabricants de navigateurs se sont méfiés de StartCom il y a environ un an et, par conséquent, tous les certificats d'entité finale nouvellement émis par StartCom ne sont pas approuvés par défaut dans les navigateurs.
Les navigateurs ont imposé certaines conditions pour que les certificats soient à nouveau acceptés. Bien que StartCom pense que ces conditions sont remplies, il semble que certaines difficultés se présentent encore. Compte tenu de cette situation, les propriétaires de StartCom ont décidé de résilier l'entreprise en tant qu'autorité de certification, comme indiqué sur le site Web de Startcom.
StartCom cessera d'émettre de nouveaux certificats à partir du 1er janvier 2018 et ne fournira que les services CRL et OCSP pendant deux ans de plus.
StartCom tient à vous remercier pour votre soutien durant cette période difficile.
StartCom contacte d'autres autorités de certification pour vous fournir les certificats nécessaires. Si vous ne souhaitez pas que nous vous fournissions une alternative, veuillez nous contacter à certmaster@startcomca.com
Veuillez nous faire savoir si vous avez besoin d'aide supplémentaire pour le processus de transition. Nous nous excusons profondément pour tout inconvénient que cela pourrait causer.
Cordialement, Autorité de Certification StartCom