StartSSL confirmó que esto se debe al certificado raíz de StartCom parcialmente revocado. Están trabajando para que los navegadores vuelvan a confiar plenamente en su certificado raíz. Parece que a finales de febrero sería el primer período de tiempo, por lo que no a tiempo para ayudar a mis certificados que vencen en dos semanas. :-(
Para: Stephen Ostermiller,
Este mensaje de correo electrónico fue creado por el personal de administración de StartCom:
Hola,
Todos los certificados emitidos antes del 21.10.2016 no se ven afectados. Los certificados emitidos después del 21.10.2016 se desconfían de los navegadores Chrome, Firefox y Safari.
Documento oficial sobre desconfianza> https://blog.mozilla.org/security/2016/10/24/distrusting-new-wosign-and-startcom-certificates/
Estamos trabajando arduamente en el plan de remediación ( https://bugzilla.mozilla.org/show_bug.cgi?id=1311832 ), y estamos haciendo todo lo posible para recuperar la confianza lo antes posible. Uno de los pasos ya realizados: https://startssl.com/NewsDetails?date=20160919
Tenemos algunos retrasos con una solución provisional, pero tendremos más información solo más adelante en febrero.
Acepte nuestras disculpas por las molestias.
Por favor no responder a este email. Esta es una dirección de correo electrónico no supervisada, y las respuestas a este correo electrónico no se pueden responder ni leer. Si tiene alguna pregunta o comentario, simplemente haga clic aquí (( https://startssl.com/reply ) para enviarnos su pregunta, gracias.
Saludos
cordiales Autoridad de certificación StartCom ™
Qualys SSL Labs
En cuanto a por qué Qualys SSL Labs no informa el error, encontré un hilo en sus foros que dice que tendrían que codificar un caso específico porque la revocación no se manejó de la manera normal. Todavía no lo han hecho, pero tienen un error abierto para hacerlo .
CA no fue revocado ordinariamente, por lo que no hay forma de saber simplemente mirando a OCSP o CRL los certificados revocados. StartCom, según Mozilla, Google y Apple, violó varias reglas, pero debido a que StartCom es una de las principales autoridades de certificación, sería una acción demasiado grande simplemente revocar el certificado de CA, millones de páginas web dejarían de funcionar. Decidieron que dejarán de confiar en los nuevos certificados emitidos por esta CA a partir de la nueva versión del navegador. Esto se anunció hace dos meses, por lo que los administradores web han tenido tiempo de obtener un nuevo certificado de otra CA.
Esto para no confiar en el cambio de CA está codificado en NUEVAS versiones de navegadores, por lo que para tener algunos resultados útiles en ssllabs.com, estas reglas también deben codificarse en la prueba. No es la solución más bonita, pero parece la única.
Firefox
Blog de seguridad de Mozilla: desconfiando de los nuevos certificados WoSign y StartCom
Cromo
Google y Chrome desconfían de los certificados WoSign y StartCom
Chrome está eliminando gradualmente la desconfianza de estos certificados con versiones posteriores del navegador .
- Chrome 56 desconfía de todos los certificados emitidos después del 21 de octubre de 2016.
- Chrome 57 también desconfía de todos los certificados antiguos, a menos que el sitio se encuentre entre los principales sitios de Alexa.
- Chrome 58 también desconfía de todos los certificados antiguos a menos que el sitio esté en el top 500,000 de Alexa.
- Chrome 61 desconfía de TODOS los certificados firmados por StartSSL y WoSign
Safari
Apple y Safari Blocking Trust para WoSign CA Free SSL Certificate G2
El fin de StartCom
Recibí el siguiente correo electrónico de StartCom sobre su cierre:
Estimado cliente,
Como seguramente sabrá, los fabricantes de navegadores desconfiaron de StartCom hace aproximadamente un año y, por lo tanto, todos los certificados de entidad final recién emitidos por StartCom no son confiables por defecto en los navegadores.
Los navegadores impusieron algunas condiciones para que los certificados fueran aceptados nuevamente. Si bien StartCom cree que se han cumplido estas condiciones, parece que todavía hay ciertas dificultades por venir. Considerando esta situación, los propietarios de StartCom han decidido terminar la compañía como una Autoridad de Certificación como se menciona en el sitio web de Startcom.
StartCom dejará de emitir nuevos certificados a partir del 1 de enero de 2018 y proporcionará solo servicios CRL y OCSP por dos años más.
StartCom quisiera agradecerle por su apoyo durante este momento difícil.
StartCom se está contactando con otras CA para proporcionarle los certificados necesarios. En caso de que no desee que le brindemos una alternativa, contáctenos en certmaster@startcomca.com
Háganos saber si necesita más ayuda con el proceso de transición. Pedimos disculpas por cualquier inconveniente que esto pueda causar.
Saludos cordiales, Autoridad de certificación de StartCom