完全に闇に落ちていた StartSSL に￥3,603 課金してしまったお話

このサイトは 10 ヶ月ほど前の [2016-03-15-1] に http2 対応したタイ
ミングで SSL 証明書を取得しました。

当時すでに Let’s Encrypt が使われ始めていましたが、Chef の構成管理
が面倒そうなのと、1 年に 1 回の更新なら手間でもないだろうというこ
とで、StartSSL で SSL 証明書を取得しました（自身初の経験）。

今回はサブドメインを 1 つ追加するために、StartSSL の管理画面から
SSL 証明書を作成し差し替えたのですが、どうもうまくいかない。Chrome
だと NET::ERR_CERT_REVOKED というエラーになってしまう。

Chrome NET::ERR_CERT_REVOKED

macOS の curl だと Invalid certificate chain になるけど、Linux の
curl は問題なかったり、macOS も Firefox ではエラーにならなかったり、
法則性が見いだせませんでした。

仕方がないので、サーバ側の問題とは認識しつつも、切り分けのために
macOS の Keychain Access の StartSSL っぽい Certificate を削除した
が現象変わらず。

私の SSL 証明書への耐性が少ないこともあり、「以前の証明書と干渉し
ているのかな？」と仮説を立て、StartSSL で作った以前の SSL 証明書を
Revoke してみました。

ただ、StartSSL は Class1 の SSL 証明書であっても手数料が必要です。

https://www.startssl.com/Support?v=25#72

72.) I made a mistake, can I get my certificate revoked?
Revocations carry a handling fee of currently US$ 9.90. (snip)

切り分けのためにはまあいいかと、奮発して(!) 3 つの SSL 証明書を
Revoke しました。日本円にして￥3,603 。今にして思えば嗚呼…。

12:52 に申請して、23:16 に無事 Revoke されました。やったー！

あれ、まだ直らない・・・？

なんで NET::ERR_CERT_REVOKED になるんだろう...？ https://t.co/R2TAScH8Na
— マスタカ (@masutaka) January 9, 2017

お、なんだろう？

https://t.co/kZVYvRAcsS これ系かも？？
— 🍡🍩💫 hoshino (@hoppiestar) January 9, 2017

ババーン！

中国の認証局が不正な証明書、主要ブラウザが無効化を通告 - ITmedia エンタープライズ

中国の認証局WoSignと傘下のWoSignが不正な証明書を発行していたことが
分かったとして、米MozillaやGoogle、AppleがそれぞれのWebブラウザで
両社の証明書を信頼できない証明書として扱うと表明した。

Googleは10月31日のブログで、Chrome 56（2017年1月にリリース予定）以
降のバージョンではWoSignとStartComが10月21日以降に発行した証明書を
信頼できる証明書として扱わないと表明した。

えぇ…。（このニュースに気づかなかった自分にも困惑）

それより前に発効された証明書については当面の間、条件付きで信頼する
が、そうした例外は両社の証明書を使っているWebサイトに対して信頼で
きる別の認証局への移行を促すための措置だとした。

MozillaのFirefoxでもWoSignとStartComが10月21日以降に発行した証明書
について、Firefox 51（現在aurora版、安定版は2017年1月24日リリース
予定）以降のバージョンで無効とする。

辻褄は合う... pic.twitter.com/ipqIHUe5Ct
— マスタカ (@masutaka) January 9, 2017

Mozillaなどは認証局に対して2016年1月1日までにSHA-1を使ったSSL証明
書の発行を中止するよう求めていたが、WoSignはこの措置を免れる目的で、
証明書に実際よりも前の日付を入れていたことが分かったという。

さらに、WoSignは別の認証局のStartComを買収していたにもかかわらず、
その事実を公表しなかったとMozillaは指摘した。Googleもこの買収につ
いて「WoSignとStartComは証拠を突き付けられると、買収および両社の関
係についてブラウザコミュニティをあざむこうと画策した」と批判している。

はあ？完全に真っ黒でないですかい！なぜ自滅の道に…。

ニュースを知らなかったとはいえ、まさか SSL 証明書の発行元が原因だっ
たとは…。私の切り分け能力もまだまだのようです。

今は取り急ぎ発行した Let’s Encrypt の証明書で、このサーバの https
は動いています。

無料の SSL 証明書は Let’s Encrypt 一択なんですかね？粛々と正式対
応を進めていきます…。

最後に。

WoSign と StartSSL は◯ねや！ログインしてもそれが一切分からない
StartSSL は特に。

StartSSL の管理画面は SSL 証明書でログインするのがカッコよくて、好
きだったんだけどなあ…。

こんなことにお金を使ってしまった自分に遺憾の意を表明します。

追記(2017-12-02):
2017-11-16 に今年いっぱいで新規証明書の発行を停止、2018 年から 2
年間は証明書の検証サービスのみ提供、2020 年からは全ての証明書が失
効すると発表されていました。まだ発行しているのか…。

・Termination of StartCom business - StartSSL™ Certificates & Public Key Infrastructure
・StartCom_Certification_Authority