StartSSLの証明書を導入してから、1年が経ったので、更新した。
ググってもでてこないことがあったので、主にその部分をメモしておく。
StartSSLの更新時期が近づくと有効期限迫ってるよってメールがきます。
いくつかのサイトを参考にしました。
StartSSL更新を行う – The Hacker in The Rye
主にこちらのサイトを参考にしました。
自分はKey再作成しちゃいましたけど。
更新が完了して、ブラウザで証明書の有効期限が変わってることを確認していると、URL欄に表示されるアイコンは問題ないのだけど、なんかメッセージがある。
このサイトでは古いセキュリティ設定が使用されており、Chromeの今後のバージョンではこのサイトに安全委アクセスできない可能性があります。
SSLv3 無効にしてないからかなと思って、
SSLProtocol all -SSLv2 -SSLv3
に設定を変更して無効にしてみたけど変わらなかった。
Chrome 39安定版のリリースと、有効期限が2017年1月以降のSHA1証明書の警告表示 – 自堕落な技術者の日記
こちらによると、証明書がSHA1だと表示されるらしい。
有効期限が2017年1月以降だと、URL欄のアイコンも変わるらしく、うちのは2016年2月までなのでアイコンは変わらないけど、詳細表示するとワーニングが表示されるってこと見たい。
証明書作るときにSHA2にしたのになぁと思いつつ記事を読むと、中間証明書もSHA2になってないとダメらしい。
StartSSLのデフォルトの中間証明書はどうやらSHA1らしい。
デフォルトっていうのは以下の直下で配布されてるもの。
https://www.startssl.com/certs/
うちの証明書はClass1なので、Class1のディレクトリを掘っていったら、SHA2のものがありました!
https://www.startssl.com/certs/class1/sha2/pem/
中間証明書をここにある以下のファイルに変更したら、でなくなりました!
https://www.startssl.com/certs/class1/sha2/pem/sub.class1.server.sha2.ca.pem
これでSSL証明書の更新が今度こそできた。
StartSSL使ってる人は、今年の間はまだ大丈夫ですが、次回更新時にでも導入する中間証明書をSHA2のものに変えてみてはいかがでしょうか?