2017-01 / 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

2017-01-10 (火)

完全に闇に落ちていた StartSSL に ¥3,603 課金してしまったお話

このサイトは 10 ヶ月ほど前の [2016-03-15-1] に http2 対応したタイ
ミングで SSL 証明書を取得しました。

当時すでに Let's Encrypt が使われ始めていましたが、Chef の構成管理
が面倒そうなのと、1 年に 1 回の更新なら手間でもないだろうというこ
とで、StartSSL で SSL 証明書を取得しました(自身初の経験)。

今回はサブドメインを 1 つ追加するために、StartSSL の管理画面から
SSL 証明書を作成し差し替えたのですが、どうもうまくいかない。Chrome
だと NET::ERR_CERT_REVOKED というエラーになってしまう。

Chrome NET::ERR_CERT_REVOKED


macOS の curl だと Invalid certificate chain になるけど、Linux の
curl は問題なかったり、macOS も Firefox ではエラーにならなかったり、
法則性が見いだせませんでした。

仕方がないので、サーバ側の問題とは認識しつつも、切り分けのために
macOS の Keychain Access の StartSSL っぽい Certificate を削除した
が現象変わらず。

私の SSL 証明書への耐性が少ないこともあり、「以前の証明書と干渉し
ているのかな?」と仮説を立て、StartSSL で作った以前の SSL 証明書を
Revoke してみました。

ただ、StartSSL は Class1 の SSL 証明書であっても手数料が必要です。

https://www.startssl.com/Support?v=25#72

72.) I made a mistake, can I get my certificate revoked?
Revocations carry a handling fee of currently US$ 9.90. (snip)


切り分けのためにはまあいいかと、奮発して(!) 3 つの SSL 証明書を
Revoke しました。日本円にして ¥3,603 。今にして思えば嗚呼...。

12:52 に申請して、23:16 に無事 Revoke されました。やったー!

あれ、まだ直らない・・・?



お、なんだろう?



ババーン!

中国の認証局が不正な証明書、主要ブラウザが無効化を通告 - ITmedia エンタープライズ

中国の認証局WoSignと傘下のWoSignが不正な証明書を発行していたことが
分かったとして、米MozillaやGoogle、AppleがそれぞれのWebブラウザで
両社の証明書を信頼できない証明書として扱うと表明した。

Googleは10月31日のブログで、Chrome 56(2017年1月にリリース予定)以
降のバージョンではWoSignとStartComが10月21日以降に発行した証明書を
信頼できる証明書として扱わないと表明した。


えぇ...。(このニュースに気づかなかった自分にも困惑)

それより前に発効された証明書については当面の間、条件付きで信頼する
が、そうした例外は両社の証明書を使っているWebサイトに対して信頼で
きる別の認証局への移行を促すための措置だとした。

MozillaのFirefoxでもWoSignとStartComが10月21日以降に発行した証明書
について、Firefox 51(現在aurora版、安定版は2017年1月24日リリース
予定)以降のバージョンで無効とする。




Mozillaなどは認証局に対して2016年1月1日までにSHA-1を使ったSSL証明
書の発行を中止するよう求めていたが、WoSignはこの措置を免れる目的で、
証明書に実際よりも前の日付を入れていたことが分かったという。

さらに、WoSignは別の認証局のStartComを買収していたにもかかわらず、
その事実を公表しなかったとMozillaは指摘した。Googleもこの買収につ
いて「WoSignとStartComは証拠を突き付けられると、買収および両社の関
係についてブラウザコミュニティをあざむこうと画策した」と批判している。


はあ?完全に真っ黒でないですかい!なぜ自滅の道に...。

ニュースを知らなかったとはいえ、まさか SSL 証明書の発行元が原因だっ
たとは...。私の切り分け能力もまだまだのようです。

今は取り急ぎ発行した Let's Encrypt の証明書で、このサーバの https
は動いています。

無料の SSL 証明書は Let's Encrypt 一択なんですかね? 粛々と正式対
応を進めていきます...。

最後に。

WoSign と StartSSL は◯ねや! ログインしてもそれが一切分からない
StartSSL は特に。

StartSSL の管理画面は SSL 証明書でログインするのがカッコよくて、好
きだったんだけどなあ...。

こんなことにお金を使ってしまった自分に遺憾の意を表明します。

2017-01 / 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

最終更新時間: 2017-05-23 22:14

検索
最近の話題
- 2017-04-29
  Docker ではないコンテナ systemd-nspawn を使ってみた
- 2017-04-16
  CircleCI 2.0 で capistrano デプロイしてみた
- 2017-04-15
  CircleCI 2.0 をローカルで実行できる circleci コマンドとは何者か
- 2017-04-13
  Rails リポジトリに CircleCI 2.0 を導入した
- 2017-04-08
  PS4 Pro と LG の 4K テレビ 43UH6500 で nasne は使えるのか?
- 2017-04-02
  オムロンの低周波治療器が肩こりにだいぶ効く
- 2017-03-21
  ローカル環境を出来るだけ Dockerize した
最近追記された記事
- 2017-04-29-1 (23日前)
- 2017-04-13-1 (37日前)
- 2017-04-13-1 (39日前)
- 2017-03-02-1 (81日前)
- 2017-02-25-1 (86日前)
- 2017-02-21-1 (90日前)
- 2015-06-07-1 (96日前)
- 2016-10-19-1 (105日前)
- 2016-01-01-1 (117日前)
- 2015-01-04-1 (126日前)
カテゴリ
- Anthy (3)
- Apache (11)
- Apple (1)
- ATOK (4)
- au (3)
- AWS (17)
- Bazaar (1)
- Berkshelf (2)
- BigQuery (1)
- BitBar (3)
- Book (85)
- Boxen (2)
- Bugsnag (1)
- C (26)
- capistrano (4)
- chalow (56)
- ChatWork (1)
- Chef (17)
- Chrome (3)
- Chromecast (1)
- CircleCI (10)
- Comics (2)
- Cooking (10)
- cvs (15)
- cygwin (12)
- D3.js (1)
- Debian (55)
- Docker (3)
- E-mail (8)
- elasticsearch (4)
- Emacs (219)
- Emacs講座 (10)
- English (4)
- feedforce (7)
- fetchmail (3)
- Firefox (20)
- Fluentd (4)
- ftp (1)
- Game (20)
- Gem (5)
- Git (9)
- GitHub (15)
- Go (5)
- Google (1)
- gpg (4)
- GrowthForecast (7)
- Health (3)
- Heroku (9)
- Homebrew (10)
- HTML (6)
- iBook (1)
- iPhone (15)
- IRC (1)
- Jenkins (8)
- JS (1)
- Karabiner (1)
- KeySnail (3)
- Kibana (1)
- Kindle (1)
- Langrich (7)
- LDAP (6)
- Life (19)
- Linux (6)
- Mackerel (1)
- Mew (18)
- MongoDB (1)
- Mozilla (19)
- Music (1)
- MySQL (1)
- NAS (4)
- nginx (6)
- NHK (1)
- Node (1)
- ntp (4)
- OOP (1)
- OpenID (2)
- openssl (1)
- Opera (2)
- OSX (41)
- Perl (14)
- PHP (19)
- PostgreSQL (1)
- procmail (4)
- Programing (3)
- Puppet (1)
- Python (2)
- Rails (12)
- Rake (2)
- RaspberryPi (1)
- RedHat (29)
- Redmine (3)
- Rspec (1)
- Ruby (48)
- samba (3)
- screen (7)
- sed (5)
- serverspec (6)
- sh (8)
- Slack (2)
- Solaris9 (22)
- Spring (2)
- ssh (4)
- StatusNet (21)
- svn (12)
- Swift (1)
- Tablet (1)
- tdiary (3)
- Twitter (14)
- Twmode (6)
- Ubuntu (5)
- UNIX (102)
- vagrant (8)
- Video (21)
- vim (1)
- Wercker (9)
- Windows (29)
- Wine (3)
- XML (11)
- XP (1)
- zsh (25)
- インストールメモ (33)
- クイックシェイプ (12)
- ネタ (15)
- 勉強会 (14)
- 携帯 (6)
- 正規表現 (4)
過去ログ
2017 : 01 02 03 04 05 06 07 08 09 10 11 12
2016 : 01 02 03 04 05 06 07 08 09 10 11 12
2015 : 01 02 03 04 05 06 07 08 09 10 11 12
2014 : 01 02 03 04 05 06 07 08 09 10 11 12
2013 : 01 02 03 04 05 06 07 08 09 10 11 12
2012 : 01 02 03 04 05 06 07 08 09 10 11 12
2011 : 01 02 03 04 05 06 07 08 09 10 11 12
2010 : 01 02 03 04 05 06 07 08 09 10 11 12
2009 : 01 02 03 04 05 06 07 08 09 10 11 12
2008 : 01 02 03 04 05 06 07 08 09 10 11 12
2007 : 01 02 03 04 05 06 07 08 09 10 11 12
2006 : 01 02 03 04 05 06 07 08 09 10 11 12
2005 : 01 02 03 04 05 06 07 08 09 10 11 12
2004 : 01 02 03 04 05 06 07 08 09 10 11 12
2003 : 01 02 03 04 05 06 07 08 09 10 11 12
2002 : 01 02 03 04 05 06 07 08 09 10 11 12
2001 : 01 02 03 04 05 06 07 08 09 10 11 12
Google+