Neue Zertifikate von StartCom
Eigentlich nutze ich mittlerweile ja Let’s Encrypt, wenn ich Zertifikate für den Betrieb einer Website benötige. Allerdings gibt es doch noch ein oder zwei Dienste, wo ich seit Ende 2015 auf StartCom setze - und die dortigen, kostenlosen Zertifikate laufen eben nach einem Jahr ab und standen daher jetzt zur Erneuerung an.
Wenige Stunden vor dem Ablauf meines persönlichen Identifizierungs-Zertifikats - wie ich erst dann bemerkte - loggte ich mich also dort ein, validierte meinen Account und die relevanten Domains neu, erstellte ein neues persönliches Zertifikat und auch neue Zertifikate für die betreffenden Websites. Jetzt ist wieder alles paletti.
Neuerdings scheinen die Zertifikate immerhin für drei Jahre ausgestellt zu werden - also habe ich jetzt bis 2019, um StartCom auch dort durch Let’s Encrypt zu ersetzen.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Sven Hartge am :
Tja, leider verloren, da StartCom (und WoSign) wohl sowohl bei Mozilla wie auch bei Google das Vertrauen verlieren werden. Bei Apple ist das schon der Fall:
http://www.golem.de/news/zertifikate-mozilla-will-startcom-und-wosign-das-vertrauen-entziehen-1609-123462.html
https://www.heise.de/security/meldung/Zertifizierungsstellen-WoSign-und-StartCom-verlieren-Apples-und-Mozillas-Vertrauen-3341294.html
Praktisch gesehen hast du also noch … 2 Tage Zeit, um nach Letsencrypt umzustellen, wenn die Blockage wirklich zum 21.10. aktiv werden sollte.
Thomas Hochstein am :
Unschön. (Das ganze Verhalten von WoSign (und deren Aufkauf von StartCom), meine ich.)
Aber womöglich doch kein Problem:
Sven Hartge am :
In der Diskussion waren alle Zertifikate, die ab dem 01.10.2016 ausgestellt wurden.
So oder so reicht schon die kleinste weitere Verfehlung (und ich garantiere, dass da sicherlich noch weitere Probleme hochkochen werden) und die beiden CAs sind komplett weg vom Fenster.
Ich würde mich nicht auf dem Zeitraum bis 2019 ausruhen, sondern schon jetzt direkt die Exit-Strategie planen.
Thomas Hochstein am :
Bis 2019 soll’s auch nicht dauern - und die Exit-Strategie ist klar: nach Upgrade der Maschine (oder dem länger geplanten Serverumzug auf ein neues Blech, das für dasselbe Geld Leistung aus 2016 und nicht aus 2009 bietet …) landet Let’s Encrypt auch dort.
Thomas Hochstein am :
Nachdem zwar nicht Firefox, aber Chrome schon einige Zeit das Zertifikat von StartSSL beanstandet hat, gibt es auch hier dann jetzt endlich ein "anständiges" Zertifikat.