Il mio certificato emesso da StartSSL non è accettato dai miei clienti

18

Ho richiesto un nuovo certificato server di classe 1 da StartSSL oggi e funziona perfettamente con Apache e Dovecot + (Thunderbird / Outlook / OpenXChange), ma quando provo a connettermi al server di posta utilizzando un client Apple (Mac / iPhone), Ricevo un messaggio di errore SSL.

Ho incatenato il

  • 2_Server Certificate
  • 1_ Certificato intermedio
  • Certificato di radice

in questo ordine e ha usato il file risultante come ssl_cert in dovecot. Le uniche altre due impostazioni SSL che ho sono ssl=requiredessl_key = </path

Qualcuno ha avuto questo problema prima e ha trovato una soluzione?

ssl 
Max
fonte
Cross-stack correlato superuser.com/questions/1165464/… sebbene quella persona non abbia nemmeno ricevuto un utile errore da Safari.
dave_thompson_085,
2
Wow. Vendere nuovi certificati che i più popolari non accetteranno è piuttosto ingannevole.
Codici A Caos il
Quale messaggio di errore?
Lightness Races con Monica
Stephen Ostermiller,

Risposte:

39

Il tuo problema è la tua CA: StartSSL.

I loro certificati non sono altro che uno spreco di elettroni da quest'anno, perché Apple, Google e Mozilla non si fidano più di loro immediatamente e sicuramente altri seguiranno.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

Marc Stürmer
fonte
10
Quindi qualcosa come letsencrypt.org sarebbe un sostituto migliore, nonostante i loro certificati fossero limitati a 90 giorni.
Criggie,
14
È improbabile che @Max Let's Encrypt sia coinvolto nel tipo di frode che abbiamo visto su StartCom / WoSign.
Michael Hampton
15
@DepressedDaniel LE ha tutte le indicazioni per operare come attore rispettabile e positivo. StartSSL è stato problematico per anni prima di essere scoperto, tra cui cose come l'addebito di revoche Heartbleed. È del tutto possibile assegnare probabilità .
Ceejayoz,
5
@ Ángel Old StartSSL, vuoi dire? La frode è iniziata sotto WoSign. Tuttavia, pratiche di merda come l'accusa per le revisioni Heartbleed. (Heartbleed hit nel 2014; WoSign li ha acquistati segretamente nel 2015)
ceejayoz,
3
Rimaniamo un po 'fuori tema, ma ... La carica per revocazioni di cuore è piuttosto diversa: cattiva in termini di assistenza clienti ma non una violazione di nulla (quando si registra il costo delle revoche non è attivamente nascosto e il cuore non lo era nessun errore di StartSSLs). Il comportamento più recente che ha portato all'azione dei produttori di browser è stata una violazione (o più violazioni) del modello di attendibilità di SSL
David Spillett,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.