StartComเป็นหน่วยงานออกใบรับรองที่ก่อตั้งขึ้นในเมืองอีลัตประเทศอิสราเอลและต่อมาได้ย้ายไปตั้งอยู่ที่กรุงปักกิ่งประเทศจีนโดยมีกิจกรรมหลัก 3 อย่าง ได้แก่ StartCom Enterprise Linux ( ^ระบบปฏิบัติการ Linux ), StartSSL ( หน่วยงานออกใบรับรอง ) และ MediaHost ( บริการเว็บโฮสติ้ง ) StartCom ได้จัดตั้งสำนักงานสาขาในประเทศจีนฮ่องกงสหราชอาณาจักรและสเปน^[ 2 ^]เนื่องจากความผิดพลาดหลายประการของบริษัท ใบรับรอง StartCom ทั้งหมดจึงถูกลบออกจากMozilla Firefoxในเดือนตุลาคม 2016 ^{[ 3 ]}และGoogle Chromeในเดือนมีนาคม 2017 รวมถึงใบรับรองที่ออกไปก่อนหน้านี้ และคาดว่าจะมีการลบออกจากเบราว์เซอร์อื่นๆ ในลักษณะเดียวกัน^{[ 4 ]}

StartCom ถูกซื้อกิจการอย่างลับๆ^{[ 5 ]}โดยWoSign Limited ( เซินเจิ้นมณฑลกวางตุ้งประเทศจีน ) ผ่านบริษัทหลายแห่ง^{[ a ]} ​​ซึ่งถูกเปิดเผยโดยการสืบสวนของ Mozilla ^{[ 5 ]}ที่เกี่ยวข้องกับการลบใบรับรองรากของ WoSign และ StartCom ในปี 2016 เนื่องจากการลงโทษของทั้ง Mozilla และ Apple ^{[ 6 ] [ 7 ]}บริษัทจึงประกาศว่าจะปรับโครงสร้างใหม่ในช่วงปี 2016 โดยQihoo 360 Group ซึ่งเป็นบริษัทแม่ของ WoSign โดยแยก StartCom ออกจาก WoSign ที่ได้รับผลกระทบจากเรื่องอื้อฉาว และทำให้ StartCom เป็นบริษัทในเครือของ Qihoo ^{[ b ] [ 8 ]}

แม้จะพยายามหลีกเลี่ยงความขัดแย้ง แต่เมื่อวันที่ 16 พฤศจิกายน 2017 StartCom ก็ประกาศยุติการดำเนินธุรกิจ และเมื่อวันที่ 1 มกราคม 2018 ก็หยุดให้บริการใบรับรองใหม่ ซึ่งส่งผลให้บริษัทปิดตัวลง^{[ 9 ] [ 10 ]}เว็บไซต์ StartSSL, StartCom และ StartCom CA จะเปลี่ยนเส้นทางไปยังหน้าร้านค้าของ WoSign

StartCom เสนอใบรับรอง SSL X.509ระดับ Class 1 ฟรี"StartSSL Free" ซึ่งใช้งานได้กับเว็บเซิร์ฟเวอร์ ( SSL/TLS ) และการเข้ารหัสอีเมล ( S/MIME ) นอกจากนี้ยังเสนอใบรับรองระดับ Class 2 และ 3 รวมถึงใบรับรอง Extended Validation Certificatesซึ่งจำเป็นต้องมีการตรวจสอบความถูกต้องอย่างครอบคลุม (โดยมีค่าใช้จ่าย)

แม้ว่าใบรับรองจะฟรีและไม่จำกัดจำนวนครั้งสำหรับการใช้งานบางอย่าง แต่ก็มีข้อจำกัดบางประการ เว้นแต่จะซื้อแพ็กเกจอัปเกรด:

• ใบรับรองมีอายุการใช้งานสามปี
• การเพิกถอนใบรับรองต้องเสียค่าธรรมเนียม

ในเดือนมิถุนายน พ.ศ. 2554 บริษัทประสบปัญหาการละเมิดเครือข่าย ส่งผลให้ StartCom ต้องระงับการออกใบรับรองดิจิทัลและบริการที่เกี่ยวข้องเป็นเวลาหลายสัปดาห์^{[ 11 ]}ผู้โจมตีไม่สามารถใช้สิ่งนี้เพื่อออกใบรับรองได้ (และ StartCom เป็นผู้ให้บริการเพียงรายเดียวจากทั้งหมดหกรายที่ถูกโจมตี ซึ่งผู้โจมตีถูกบล็อกไม่ให้ทำเช่นนั้น) ^{[ 12 ]}

ใบรับรอง StartSSL ถูกรวมไว้เป็นค่าเริ่มต้นในMozilla Firefox เวอร์ชัน 2.x ขึ้นไป ใน Apple Mac OS X ตั้งแต่เวอร์ชัน 10.5 (Leopard)ระบบปฏิบัติการของ Microsoftทั้งหมด ตั้งแต่วันที่ 24 กันยายน 2009 ^{[ 13 ] [ 14 ]}และOperaตั้งแต่วันที่ 27 กรกฎาคม 2010 ^{[ 15 ]}เนื่องจากGoogle Chrome , Apple SafariและInternet Explorerใช้ที่เก็บใบรับรองของระบบปฏิบัติการ เบราว์เซอร์หลักทั้งหมดจึงรองรับใบรับรอง StartSSL อยู่แล้ว

เมื่อวันที่ 30 กันยายน 2016 ระหว่างการสอบสวนWoSign Apple ได้ประกาศว่าซอฟต์แวร์ของพวกเขาจะไม่ยอมรับใบรับรองที่ออกโดยใบรับรอง WoSign หนึ่งใบหลังจากวันที่ 19 กันยายน 2016 และกล่าวว่าจะดำเนินการเพิ่มเติมกับจุดยึดความน่าเชื่อถือของ WoSign/StartCom เมื่อการสอบสวนดำเนินไป^{[ 7 ]}

เมื่อวันที่ 24 ตุลาคม 2559 Mozilla ประกาศในบล็อกความปลอดภัยของตนว่า หลังจากที่ค้นพบการซื้อ StartCom โดย Certificate Authority อีกรายหนึ่งชื่อ WoSign ระหว่างการตรวจสอบปัญหาต่างๆ มากมายกับ CA ดังกล่าว และทั้งสองบริษัทล้มเหลวในการเปิดเผยธุรกรรมนี้^{[ 16 ]} Mozilla จะหยุดเชื่อถือใบรับรองที่ออกหลังจากวันที่ 21 ตุลาคม 2559 โดยเริ่มจาก Firefox 51 ^{[ 17 ]}เมื่อวันที่ 1 พฤศจิกายน 2559 Google ประกาศว่าจะหยุดเชื่อถือใบรับรองที่ออกหลังจากวันที่ 21 ตุลาคม 2559 โดยเริ่มจาก Chrome 56 ใบรับรองที่ออกก่อนวันที่นี้อาจยังคงเชื่อถือได้ในระยะเวลาหนึ่ง แต่ใน Chrome เวอร์ชันต่อๆ ไป ข้อยกเว้นเหล่านี้จะลดลงและในที่สุดก็จะถูกลบออก^{[ 18 ]}เมื่อวันที่ 30 พฤศจิกายน 2559 ผลิตภัณฑ์ของ Apple จะบล็อกใบรับรองจาก WoSign และ StartCom root CA หากวันที่ "ไม่ก่อน" ตรงกับหรือหลังจากวันที่ 1 ธันวาคม 2559 เวลา 00:00:00 GMT/UTC ^{[ 19 ]}

ตั้งแต่เวอร์ชัน 57 เป็นต้นไป Google Chrome จะเชื่อถือเฉพาะใบรับรอง WoSign/StartCom ที่ออกให้กับเว็บไซต์ในรายชื่อ Alexa Top 1M เท่านั้น และ Chrome 58 จะเชื่อถือเฉพาะใบรับรองที่อยู่ในรายชื่อ Alexa Top 500k เท่านั้น^{[ 20 ]}

เมื่อวันที่ 8 สิงหาคม 2560 ไมโครซอฟต์ได้ประกาศในบล็อกความปลอดภัยของ Windows ว่าWindows 10จะไม่เชื่อถือใบรับรองใหม่ใด ๆ จาก WoSign และ StartCom หลังจากเดือนกันยายน 2560 ^{[ 21 ]}

แม้จะมีการเปลี่ยนแปลงโครงสร้างของบริษัท StartCom ก็ยังไม่เห็น "สัญญาณที่ชัดเจนใดๆ จากเบราว์เซอร์ว่า StartCom จะสามารถเรียกความไว้วางใจกลับคืนมาได้" จากบริษัทเบราว์เซอร์ ดังนั้น StartCom จึงได้หยุดการออกใบรับรองทั้งหมดตั้งแต่วันที่ 1 มกราคม 2018 และจะยุติธุรกิจทั้งหมดภายในปี 2020 โดยการเพิกถอนใบรับรองที่ออกไปทั้งหมด^{[ 22 ]}

เมื่อวันที่ 13 เมษายน 2557 StartCom ประกาศ^{[ 23 ]}หน้าคำถามที่พบบ่อย [ ^{24 ] ที่}เกี่ยวข้องกับHeartbleedซึ่งเป็นข้อบกพร่องร้ายแรงในOpenSSLที่คาดว่าทำให้เว็บเซิร์ฟเวอร์ที่ปลอดภัยของอินเทอร์เน็ต 17% เสี่ยงต่อการถูกขโมยข้อมูล

นโยบายของ StartCom คือการเรียกเก็บค่าธรรมเนียม 25 ดอลลาร์สำหรับใบรับรองที่ถูกเพิกถอนแต่ละใบ และปฏิเสธที่จะยกเว้นค่าธรรมเนียมนี้ในกรณีที่ใบรับรองถูกบุกรุกเนื่องจาก Heartbleed แม้ว่าลูกค้าที่ชำระเงินบางรายจะได้รับการเพิกถอนฟรีหนึ่งครั้งก็ตาม^{[ 25 ] [ 26 ] [ 27 ]}สิ่งนี้ทำให้หลายคนสงสัยในสถานะของ StartCom ในฐานะหน่วยงานออกใบรับรอง^{[ 28 ]}เมื่อได้รับหลักฐานว่าใบรับรองถูกบุกรุก StartCom ปฏิเสธที่จะเพิกถอนใบรับรองโดยไม่คิดค่าใช้จ่าย ซึ่งแสดงให้เห็นถึงความไว้วางใจแม้หลังจากที่ StartCom ทราบว่าใบรับรองถูกบุกรุกแล้ว^{[ 29 ]}

ในเดือนสิงหาคม พ.ศ. 2559 มีรายงานว่า StartCom ถูกขายให้กับ WoSign ซึ่งเป็น CA ของจีน^{[ 16 ] [ 30 ] [ 31 ]}การเปิดเผยข้อมูลเดิมถูกลบออกด้วยเหตุผลทางกฎหมาย^{[ 32 ]}อย่างไรก็ตาม การโพสต์ซ้ำของบทความเดิมยังคงมีอยู่^{[ 30 ]}ความสัมพันธ์ไม่ชัดเจน แต่ดูเหมือนว่าโครงสร้างพื้นฐานทางเทคนิคของ StartCom ถูกใช้โดย WoSign เมื่อพวกเขาถูกจับได้ว่าออกใบรับรอง SSL ที่ตรวจสอบไม่ถูกต้องประมาณหนึ่งร้อยใบ^{[ 33 ]}รวมถึงใบรับรองสำหรับ github.com ^{[ 16 ] [ 34 ]}

การสอบสวนโดย Google และ Mozilla พบว่า WoSign จงใจออกใบรับรองที่ผิดพลาดเพื่อหลีกเลี่ยงข้อจำกัดของเบราว์เซอร์และข้อกำหนดของ CA ส่งผลให้ Google เข้าร่วมกับ Mozilla และ Apple และวางแผนที่จะไม่ไว้วางใจใบรับรองทั้งหมดของ WoSign และ StartCom ตั้งแต่ปี 2017 เป็นต้นไป^{[ 35 ]}เมื่อวันที่ 17 กรกฎาคม 2017 มีการประกาศเกี่ยวกับการปรับโครงสร้างของบริษัท โดยประกาศว่า StartCom อยู่ภายใต้การจัดการของ Qihoo 360 100% แล้ว ไม่มีพนักงานของ StartCom ทำงานในสถานที่ของ WoSign มีการตรวจสอบโดยผู้ทดสอบเจาะระบบภายนอก และมีการพัฒนาระบบ CMS ใหม่^{[ 36 ]}

• การเข้ารหัสลับ
• ใบรับรองกุญแจสาธารณะ
• โครงสร้างพื้นฐานกุญแจสาธารณะ
• เลทส์ เอนคริปท์

• เว็บไซต์อย่างเป็นทางการในWayback Machine (เก็บถาวรเมื่อ 2014-07-23)