カニとモモンガと愉快なユウ

先日StartSSLを利用してWEBサイトのSSL証明書を発行し、サイトを作っていたのですが、PCからは普通にSSL（HTTPS）ページが正常に表示されるのにiPhoneのSafariやChromeではURLを入れても、サイトが開けない。しかもSafariにいたっては、そもそもサイトに飛ばないという前代未聞の問題にぶち当たりました。URL入れてもURLが消えて前いたページに戻っちゃうんですね。
iPhone Chromeでのエラーは

この接続ではプライバシーが保護されません
攻撃者が、www.example.com上のあなたの情報（パスワード、メッセージ、クレジットカード情報など）を不正に取得しようとしている可能性があります。NET::ERR_CERT_AUTHORITY_INVALID

とのこと。
この問題でNginxの設定見直したり、SSL証明書再発行してみたりいろいろとやってみたのですが、解決しない！（約2日間悩む）
いろいろググって、なんとか理解。
結論から言っちゃいますと、Apple（iPhone・iPadなど）とMozilla（Firefoxなど）がどうも証明書を蹴ってるくさい。
2016年末〜2017年頭（今日が1/11）の話なので最近じゃね？

以下、リンクを御覧ください。
iOS で利用できる信頼されたルート証明書の一覧（https://support.apple.com/ja-jp/HT204132）

認証局 WoSign は、WoSign CA Free SSL Certificate G2 中間認証局について、証明書の発行プロセスの管理に多くの問題が明らかになっています。Apple の信頼できるルートの一覧には WoSign のルートは入っていませんが、この中間認証局は、StartCom や Comodo とのクロス署名証明書の関係を利用し、Apple 製品に対する信頼を確立しています。
こうした事実が判明したことを受けて、Apple では、セキュリティアップデートを通じて、お客様を保護するための対策を講じました。Apple 製品で今後、WoSign CA Free SSL Certificate G2 中間認証局が信頼されることはありません。

【翻訳】WoSign と StartCom による今後の証明書は拒否します（http://mozsec-jp.hatenablog.jp/entry/2016/10/29/204852）

WoSign という認証局（CA）が技術面と運用面において多くの失態を犯していたこと、より深刻なことには、2016 年 1 月 1 日をもって SHA-1 SSL 証明書を発行できなくなる期限を回避するため、発行日を古い日時に改ざんして証明書の発行を行っていたことを Mozilla は確認しました。さらに、別の CA である StartCom の所有権を WoSign が完全に保有しているにも関わらず、Mozilla の要求するポリシーに反してこの事実を公開していなかったことも判明しました。WoSign と StartCom の担当者は、これらの瑕疵を証明するに足る十分なデータが集まるまで、今回の事件について否認し続ける姿勢です。両社の担当者が行った詐欺行為の程度を鑑みた結果、現在登録されている WoSign と StartCom のルート証明書にチェインが繋がる証明書が今後発行された場合、その証明書に対する信頼を破棄することとしました。

不正な証明書を発行した認証局WoSignとStartCom、トップが交代へ（http://itpro.nikkeibp.co.jp/atcl/idg/14/481542/101200282/）

要するに、WoSignってところが不正やらかしてもう信用できない。
WoSignってところが知らない間にStartCom（StartSSLの運営会社）を買収していたのに公開せず。
怒ったAppleとMozillaがもう認証局（CA）を信頼しないよ！
ってことみたいです。
StartSSLはけっこう使いやすくて、無料でSANs付き証明書発行できてたから、愛用していたのに…。
これからはLet’s Encrypt（https://letsencrypt.jp/）使うか、証明書買えってことですかね。
iPhoneとMozillaが対応しないとなると証明書としてはかなり厳しい…