Google Chrome перестанет доверять валидным сертификатам WoSign и StartCom для сайтов, не входящих в Alexa Top 1M

Свежая версия браузера Google Chrome 57.0.2987.21 beta больше не принимает сертификаты WoSign и StartCom для сайтов, не входящих в первый миллион по рейтингу Alexa.

При попытке открыть такой сайт выдаётся предупреждение о том, что сайту нельзя доверять.

Предупреждение при заходе на сайт с SSL-сертификатом StartCom

Предупреждение при заходе на сайт с SSL-сертификатом StartCom

В соответствующем коммите от 27 января говорится:

Restrict the set of WoSign/StartCom certs to the Alexa Top 1M

Restrict the set of domains for which WoSign/StartCom certificates
are trusted to the set of domains intersecting the Alexa Top 1M
whose certificates are unexpired and unrevoked.

Как сообщалось ранее, браузеры от Google и Mozilla уже перестали доверять сертификатам этих сертификационных центров, выпущенным 21 октября 2016 года или позднее, аналогичное решение было принято и Apple. Теперь же это коснётся и сертификатов, выпущенных ранее, но пока что не для самых популярных сайтов. Судя по всему, это очередной шаг кампании против WoSign и StartCom, нарушающих требования и стандарты индустрии.

Вы можете проверить позицию своего сайта в рейтинге Alexa.

Заметим, что несмотря на это, на сайте startssl.com всё ещё можно заказать сертификаты и оплатить свой аккаунт. Снизу выводится предупреждение и обещание разобраться с ситуацией, однако ничего не меняется уже не первый месяц.

Панель заказа сертификатов StartCom

Панель заказа сертификатов StartCom

Если вы используете сертификаты от WoSign или StartCom, рекомендуем вам отказаться от них. В качестве альтернативы можно обратить внимание на Let’s Encrypt, выдающий сертификаты бесплатно и в автоматическом режиме. Правда, только на 3 месяца, однако вам же не составит труда повесить задачу на cron, не так ли? 😉