スタートコム

この記事は検証のために追加の引用が必要です。信頼できる情報源からの引用を追加することで、この記事の改善にご協力ください。出典のない資料は異議を唱えられ、削除される場合があります。出典を探す: "StartCom"  – ニュース·新聞·書籍·学者· JSTOR      ( 2010年4月) (このメッセージを削除する方法とタイミングについては、こちらをご覧ください)

StartComはイスラエルのエイラートで設立され、後に中国の北京に拠点を置く認証局で、StartCom Enterprise Linux（Linuxディストリビューション）、StartSSL（認証局）、MediaHost（ウェブホスティング）の3つの主要な事業を展開していました。StartComは中国、香港、イギリス、スペインに支社を設立しました。^{[ 2 ]} StartCom側の複数の不具合により、2016年10月にMozilla Firefoxから^{[ 3 ]}、 2017年3月にGoogle ChromeからすべてのStartCom証明書が削除されました。これには以前発行された証明書も含まれます。他のブラウザからも同様の削除が続くと予想されています。^{[ 4 ]}

StartComは、 WoSign Limited（中国広東省深圳）によって複数の会社を通じて秘密裏に買収されました[5]。[ a ^{]これは、 2016年}のWoSignとStartComのルート証明書削除に関連するMozillaの調査^{[ 5 ]}によって明らかになりました。MozillaとAppleの制裁により、^{[ 6 ] [ 7 ]、}同社は2016年にWoSignの親会社であるQihoo 360 Groupによって再編され、スキャンダルの影響を受けたWoSignからStartComが切り離され、Qihooの子会社になると発表しました。^{[ b ] [ 8 ]}

論争から距離を置こうとする試みにもかかわらず、StartComは2017年11月16日に事業の終了を発表し、2018年1月1日には新しい証明書の提供を停止し、事実上会社を閉鎖した。^{[ 9 ] [ 10 ]} StartSSL、StartCom、StartCom CAのWebサイトは現在、WoSignのショップページにリダイレクトされている。

StartComは、Webサーバー（ SSL/TLS）と電子メール暗号化（S/MIME ）に使用できる無料のクラス1 X.509 SSL証明書「StartSSL Free」を提供していました。また、クラス2およびクラス3の証明書、そして包括的な検証（有料）が必須の Extended Validation Certificate （EVC）も提供していました。

証明書は特定の用途では無料で無制限に使用できますが、アップグレードを購入しない限り制限が課せられます。

• 証明書の有効期間は3年です
• 証明書の失効には手数料が必要

2011年6月、同社はネットワーク侵害を受け、StartComは数週間にわたりデジタル証明書の発行と関連サービスを停止した。^{[ 11 ]}攻撃者はこれを利用して証明書を発行することができなかった（StartComは6つの侵害を受けたプロバイダーのうち、攻撃者が証明書を発行できないようにブロックされた唯一のプロバイダーであった）。^{[ 12 ]}

StartSSL証明書は、 Mozilla Firefox 2.x以降、Apple Mac OS Xバージョン10.5（Leopard）以降、2009年9月24日以降のすべてのMicrosoftオペレーティングシステム、 ^{[ 13 ] [ 14 ]}、および2010年7月27日以降のOperaにデフォルトで含まれています。 ^{[ 15 ]} Google Chrome、Apple Safari、Internet Explorerはオペレーティングシステムの証明書ストアを使用するため、以前はすべての主要ブラウザでStartSSL証明書のサポートが含まれていました。

2016年9月30日、 WoSignに関する調査の最中、Appleは自社のソフトウェアが2016年9月19日以降WoSign証明書のいずれかによって発行された証明書を受け入れないことを発表し、調査の進展に応じてWoSign/StartComのトラストアンカーに対してさらなる措置を講じると述べた。^{[ 7 ]}

2016年10月24日、Mozillaはセキュリティブログで、StartComの認証局に関する数々の問題に関する調査中に、WoSignという別の認証局がStartComを買収したことが発覚し、両社ともこの取引を開示していなかったことを受け、Firefox 51以降、2016年10月21日以降に発行される証明書の信頼を停止すると発表しました。^{[ 16 ] 2016年11月1日、GoogleもChrome 56以降、2016年10月21日以降に発行される証明書の信頼を停止すると発表しました。}この日付より前に発行された証明書は、しばらくの間は引き続き信頼される可能性がありますが、Chromeの今後のリリースでは、これらの例外が縮小され、最終的には削除されます。^{[ 18 ]} 2016年11月30日、Apple製品は、「Not Before（信頼期限）」の日付が2016年12月1日 00:00:00 GMT/UTC以降である場合、WoSignおよびStartComルートCAからの証明書をブロックします。^{[ 19 ]}

バージョン57の時点で、Google ChromeはAlexa Top 1Mリストのサイトに発行されたWoSign/StartCom証明書のみを信頼し、Chrome 58はAlexa Top 500kのサイトに発行された証明書のみを信頼するようになりました。^{[ 20 ]}

2017年8月8日、マイクロソフトはWindowsセキュリティブログで、Windows 10は2017年9月以降、WoSignとStartComからの新しい証明書を信頼しないことを発表しました^{。[ 21 ]}

スタートコムは、組織変更にもかかわらず、ブラウザ企業からの「信頼回復の明確な兆候」が見られないと判断しました。そのため、2018年1月1日以降、すべての証明書の発行を停止し、2020年までに発行済みの証明書をすべて失効させることで事業を完全に終了する予定です。^{[ 22 ]}

2014年4月13日、StartComは、インターネット上の安全なウェブサーバーの17%^がデータ盗難の危険にさらされていると推定されるOpenSSLの重大なバグであるHeartbleedに関するFAQページ^{[ 23 ] [ 24} ]を発表しました。

StartComのポリシーでは、失効した証明書1件につき25ドルを請求しており、Heartbleedの影響で証明書が侵害された場合にもこの料金を免除することは拒否したが、一部の有料顧客には1回の無料失効が認められていた。^{[ 25 ] [ 26 ] [ 27 ]}このことが、StartComの証明機関としての地位を疑わせる原因となった。^{[ 28 ]}証明書が侵害された証拠を提示されても、StartComは無料での証明書の失効を拒否し、証明書が侵害されたことをStartComが知った後でも信頼を提供し続けた。^{[ 29 ]}

2016年8月、StartComが中国の認証局であるWoSignに売却されたと報じられました。^{[ 16 ] [ 30 ] [ 31 ]}当初の開示は法的な理由で削除されました。^{[ 32 ]}しかし、元の記事の再投稿はまだ利用可能です。^{[ 30 ]}関係は不明ですが、WoSignがgithub.comの証明書を含む約100 ^{[ 33 ]}不適切な検証のSSL証明書を発行していたことが発覚したとき、StartComの技術インフラストラクチャがWoSignによって使用されていたようです。^{[ 16 ] [ 34 ]}

GoogleとMozillaによる調査の結果、WoSignはブラウザの制限と認証局（CA）の要件を回避するために、故意に証明書を誤って発行していたことが判明しました。その結果、GoogleはMozillaとAppleに加わり、2017年からWoSignとStartComのすべての証明書を信頼しないようにする計画を立てました。 ^{[ 35 ]} 2017年7月17日、同社の再編に関する発表が行われました。StartComは現在、Qihoo 360によって100%管理されており、StartComの従業員はWoSignの敷地内で勤務しておらず、外部の侵入テスターに​​よる監査が実施され、新しいCMSシステムが開発されました。^{[ 36 ]}

• 暗号化
• 公開鍵証明書
• 公開鍵インフラストラクチャ
• レッツ・エンクリプト

• 公式サイト
• StartComブログ