Mój certyfikat wydany przez StartSSL nie jest akceptowany przez moich klientów

18

Poprosiłem dzisiaj o nowy certyfikat serwera klasy 1 od StartSSL i działa on doskonale z Apache i Dovecot + (Thunderbird / Outlook / OpenXChange), ale kiedy próbuję połączyć się z serwerem poczty za pomocą klienta Apple (Mac / iPhone), Otrzymuję komunikat o błędzie SSL.

Przykuty łańcuchem

  • 2_Server Certificate
  • 1_ Certyfikat pośredni
  • Certyfikat główny

w tej kolejności i użył wynikowego pliku jako ssl_cert w dovecot. Jedyne dwa pozostałe ustawienia SSL, które mam, to ssl=requiredissl_key = </path

Czy ktoś miał wcześniej ten problem i znalazł rozwiązanie?

ssl Max
źródło
Powiązany cross-stack superuser.com/questions/1165464/... chociaż ta osoba nie dostała nawet użytecznego błędu z Safari.
dave_thompson_085
2
Łał. Sprzedaż nowych certyfikatów, których najpopularniejsze nie przyjmują, jest dość przekrętem.
CodesInChaos
Jaki komunikat o błędzie?
Lekkość ściga się z Monicą
Zobacz także: Certyfikat StartSSL daje SEC_ERROR_REVOKED_CERTIFICATE w Firefoksie i ERR_CERT_AUTHORITY_INVALID w Chrome
Stephen Ostermiller

Odpowiedzi:

39

Twoim problemem jest Twój CA: StartSSL.

Ich certyfikaty to nic innego jak strata elektronów od tego roku, ponieważ Apple, Google i Mozilla nie ufają im już po wyjęciu z pudełka i na pewno inni pójdą za nimi.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

Marc Stürmer
źródło
10
Więc coś w stylu letsencrypt.org byłoby lepszym substytutem, mimo że ich certyfikaty są ograniczone do 90 dni.
Criggie,
14
@Max Let's Encrypt jest mało prawdopodobne, aby zaangażować się w oszustwo, które widzieliśmy w StartCom / WoSign.
Michael Hampton
15
@DepressedDaniel LE ma wszelkie oznaki działania jako renomowany, pozytywny aktor. StartSSL był problematyczny przez lata, zanim został złapany, w tym takie rzeczy, jak pobieranie opłat za odwołania Heartbleed. Możliwe jest przypisanie prawdopodobieństw .
ceejayoz
5
@ Ángel Old StartSSL, masz na myśli? Oszustwo rozpoczęło się w ramach WoSign. Jednak wcześniej były to gówniane praktyki, takie jak pobieranie opłat za odwołania Heartbleed. (Heartbleed hit w 2014 roku; WoSign potajemnie kupił je w 2015 roku)
ceejayoz
3
Trzymamy się trochę poza tematem, ale ... Opłaty za unieważnione serce są zupełnie inne: złe pod względem obsługi klienta, ale nie naruszają niczego (po zarejestrowaniu koszty odwołania nie są aktywnie ukryte, a heartbleed nie został dowolna wina StartSSL). Nowszym zachowaniem, które spowodowało działanie twórców przeglądarki, było naruszenie (lub wielokrotne naruszenia) modelu zaufania SSL
David Spillett