Mozilla hat bereits im Oktober 2016 die Zertifikate von StartCom und WoSign als nicht vertrauenswürdig eingestuft. Damit wurden Zertifikate, die von diesen beiden Zertifizierungsstellen nach dem 21. Oktober 2016 ausgestellt wurden, von Firefox nicht mehr akzeptiert.

Das war für mich soweit vorläufig noch kein Problem, da meine StartSSL (StartCom) 4 EV Zertifikate noch vor diesem Datum ausgestellt wurden. Doch dann kam vor Kurzem Google Chrome mit einem Update, welches noch schärfer gegen diese Zertifikate vorgeht. Seit dem Release von Chrome Version 56 gibt es folgende Restriktionen:

  • Chrome 56 is date [certificates issued by WoSign and StartCom after October 21, 2016 00:00:00 UTC]
  • Chrome 57 is limited to the global top million domains that had such certificates
  • Chrome 58 is limited to the global top 500,000 domains that had such certificates

Bis Chrome 57 war dies noch kein Problem, da meine eCommerce Seite bei Alexa noch Rank im Bereich von 800’000 war – doch ab Version 58 ist Schluss damit.

Mozilla ist da gnädiger:

Da ich von unseren Kunden nicht erwarten kann, dass sie von sich aus auf „Erweitert“ klicken, um trotzdem auf den Shop zu gelangen, musste ich eine Alternative zu StartSSL finden. Ich hatte jedoch keine Lust, dass ich tausende von Franken für ein neues Zertifikat bezahlen muss und dieses dann möglicherweise wieder von einer Zertifizierungsstelle kommt, dass auch wieder den Trust verliert.

Daher habe ich mich entschlossen – zumindest bis sich die Wogen geglättet haben – auf die Zertifikate von Let’s Encrypt zu setzen. Sollte StartSSL im Oktober 17 (der Trust wird für mind. 1 Jahr entzogen) wieder zurück am Start sein, könnte ich meine alten Zertifikate vielleicht wieder nutzen, da sie bis 2018 gültig sind…