adelmannsolutions
StartSSL Zertifikate abgelaufen und unwirksam
Vor einigerzeit berichtete ich über das Vorgehen seine eigene Seite mittels SSL Zertifikat von StartSSL zu versehen. Das schöne an StartSSL war, das es kostenfreie Zertifikate für quasi Jedermann gab.
Dies ist laut StartSSL aktuell immer noch so, hat leider nur einen Hacken. Die Zertifikate werden nicht mehr akzeptiert. Dies liegt daran das Mozilla und Google sich dazu entschlossen haben seit dem 21ten Oktober die Root-Zertifikate von StartSSL nicht mehr zu akzeptieren.
Start SSL ist hier angeblich dran dies anzupassen.
Notice:
Mozilla and Google decided to distrust all StartCom root certificates as of 21st of October, this situation will have an impact in the upcoming release of Firefox and Chrome in January. StartCom will provide an interim solution soon and will replace all the issued certificates from that date in case of requested. Meanwhile StartCom is updating all their systems and will generate new root CAs as requested by Mozilla to regain the trust in these browsers.
StartCom decide to paused the charged validation service from Nov. 3rd, any subscribers that paid the validation fee after Oct. 21st can get full refund by request.
Das ganze ist für Website Betreiber sehr unangenehm denn ein nicht vorhandenes oder aktzeptiertes SSL Zertifikat ist nicht nur für SEO ein Supergau. Nein auch für Besucher wirkt es nicht gerade Vertrauenserweckend wenn die Seite vom Browser initial geblockt wird, weil das SSL Zertifikat angeblich nicht Vertrauenswürdig ist.
StartSSL verschickte mehrfach Mails, mit der Erinnerung die Zertifikate zu aktualisieren. Dies konnte man nach dem einloggen relativ einfach auch erledigen. Dennoch wird das Zertifikat als abgelaufen angezeigt.
Schade eigentlich. Der Aufwand eine WordPress Seite von SSL auf normal http umzustellen macht nicht wirklich Spaß.
„Dennoch wird das Zertifikat als abgelaufen angezeigt.“ Wie das? Firefox 51 und Chrome 56 – wo das erstmals umgesetzt werden soll, sind noch gar nicht erschienen. Außerdem soll das im ersten Schritt nur für Zertifikate gelten, die nach dem 21. Oktober 2016 ausgestellt wurden.
Nicht gleich übertreiben, es hat jeder noch genug Zeit, und mal sehen, ob StartSSL nicht irgendwo her noch eine Cross-Signatur bekommt.
Außerdem gibts ja mittlerweile letsencrypt.org, wo es noch bequemer kostenlose Zertifikate gibt.
StartSSL hat einfach zu viel Scheiße gebaut, angefangen bei der geheimen Übernahme durch WoSign. Sowas geht einfach nicht. Eine CA muss vertrauenswürdig sein, StartCom ist es definitiv nicht mehr.
StartCom wird sicherlich auch keine Lösung mehr finden, das Vertrauen kurzfristig wiederherzustellen. Und selbst dann bleiben tiefe Kratzer im Image, auch technisch nicht einfach soetwas wieder auszubügeln (nicht-geupdatete Browser werden weiter ungültig anzeigen, selbst wenn sie als CA wieder trusted sind).
Alles in allem: Finger weg von StartCom, das Ding ist seit Dezember 2016 endgültig verbrannt. Und StartCom wird mit Sicherheit in Kürze insolvent gehen. Trau schau wem!
Firefox 51 ist da, alles was nach 21. Okt. 2016 von Startcom ausgestellt wurde ist damit nicht mehr vertrauenswürdig. Jeden Monat werden es mehr weil Zertifikate die ablaufen nicht mehr erneuert werden können. Die Betroffenen wurden gezwungen den Anbieter zu wechseln. Man darf nicht vergessen es gibt auch viele die für Certs bezahlt haben. Die gehen nun wo anders hin und sind für 1/2/3 Jahre erstmal weg.
Bis dahin ist Startcom wahrscheinlich Geschichte, so wie es auch mit Diginotar war.
Ich seh das ähnlich. Das Forum von Startcom ist ungepflegt, mit Spam überflutet, es interessiert niemand mehr.
Eine interimslösung wurde zwar angekündigt, aber bis die steht (wenn überhaupt) sind Kunden wo anders.
Man sieht wieder mal wohin es führt wenn Profit vor Hirn geht. Die Übernahme von Startcom durch den Inhaber von WoSign sollte wohl synergieeffekte schaffen. Was passiert ist, es werden beide Verschwinden. Distrust der Browserhersteller ist der Todesstoß für jede CA.
Ich finde es traurig, es gab unschlagbare Angebote von denen. Letsencrypt ist nur ein teilweiser Ersatz.