このサイトは 10 ヶ月ほど前の [2016-03-15-1] に http2 対応したタイ
ミングで SSL 証明書を取得しました。

当時すでに Let’s Encrypt が使われ始めていましたが、Chef の構成管理
が面倒そうなのと、1 年に 1 回の更新なら手間でもないだろうというこ
とで、StartSSL で SSL 証明書を取得しました(自身初の経験)。

今回はサブドメインを 1 つ追加するために、StartSSL の管理画面から
SSL 証明書を作成し差し替えたのですが、どうもうまくいかない。Chrome
だと NET::ERR_CERT_REVOKED というエラーになってしまう。

Chrome NET::ERR_CERT_REVOKED

macOS の curl だと Invalid certificate chain になるけど、Linux の
curl は問題なかったり、macOS も Firefox ではエラーにならなかったり、
法則性が見いだせませんでした。

仕方がないので、サーバ側の問題とは認識しつつも、切り分けのために
macOS の Keychain Access の StartSSL っぽい Certificate を削除した
が現象変わらず。

私の SSL 証明書への耐性が少ないこともあり、「以前の証明書と干渉し
ているのかな?」と仮説を立て、StartSSL で作った以前の SSL 証明書を
Revoke してみました。

ただ、StartSSL は Class1 の SSL 証明書であっても手数料が必要です。

https://www.startssl.com/Support?v=25#72

72.) I made a mistake, can I get my certificate revoked?
Revocations carry a handling fee of currently US$ 9.90. (snip)

切り分けのためにはまあいいかと、奮発して(!) 3 つの SSL 証明書を
Revoke しました。日本円にして ¥3,603 。今にして思えば嗚呼…。

12:52 に申請して、23:16 に無事 Revoke されました。やったー!

あれ、まだ直らない・・・?

お、なんだろう?

ババーン!

中国の認証局が不正な証明書、主要ブラウザが無効化を通告 - ITmedia エンタープライズ

中国の認証局WoSignと傘下のWoSignが不正な証明書を発行していたことが
分かったとして、米MozillaやGoogle、AppleがそれぞれのWebブラウザで
両社の証明書を信頼できない証明書として扱うと表明した。

Googleは10月31日のブログで、Chrome 56(2017年1月にリリース予定)以
降のバージョンではWoSignとStartComが10月21日以降に発行した証明書を
信頼できる証明書として扱わないと表明した。

えぇ…。(このニュースに気づかなかった自分にも困惑)

それより前に発効された証明書については当面の間、条件付きで信頼する
が、そうした例外は両社の証明書を使っているWebサイトに対して信頼で
きる別の認証局への移行を促すための措置だとした。

MozillaのFirefoxでもWoSignとStartComが10月21日以降に発行した証明書
について、Firefox 51(現在aurora版、安定版は2017年1月24日リリース
予定)以降のバージョンで無効とする。

Mozillaなどは認証局に対して2016年1月1日までにSHA-1を使ったSSL証明
書の発行を中止するよう求めていたが、WoSignはこの措置を免れる目的で、
証明書に実際よりも前の日付を入れていたことが分かったという。

さらに、WoSignは別の認証局のStartComを買収していたにもかかわらず、
その事実を公表しなかったとMozillaは指摘した。Googleもこの買収につ
いて「WoSignとStartComは証拠を突き付けられると、買収および両社の関
係についてブラウザコミュニティをあざむこうと画策した」と批判している。

はあ?完全に真っ黒でないですかい!なぜ自滅の道に…。

ニュースを知らなかったとはいえ、まさか SSL 証明書の発行元が原因だっ
たとは…。私の切り分け能力もまだまだのようです。

今は取り急ぎ発行した Let’s Encrypt の証明書で、このサーバの https
は動いています。

無料の SSL 証明書は Let’s Encrypt 一択なんですかね? 粛々と正式対
応を進めていきます…。

最後に。

WoSign と StartSSL は◯ねや! ログインしてもそれが一切分からない
StartSSL は特に。

StartSSL の管理画面は SSL 証明書でログインするのがカッコよくて、好
きだったんだけどなあ…。

こんなことにお金を使ってしまった自分に遺憾の意を表明します。

追記(2017-12-02):
2017-11-16 に今年いっぱいで新規証明書の発行を停止、2018 年から 2
年間は証明書の検証サービスのみ提供、2020 年からは全ての証明書が失
効すると発表されていました。まだ発行しているのか…。

Termination of StartCom business - StartSSL™ Certificates & Public Key Infrastructure
StartCom_Certification_Authority