Мой сертификат, выданный StartSSL, не принят моими клиентами

18

Я запросил новый сертификат сервера класса 1 у StartSSL сегодня, и он прекрасно работает с Apache и Dovecot + (Thunderbird / Outlook / OpenXChange), но когда я пытаюсь подключиться к почтовому серверу с помощью клиента Apple (Mac / iPhone), Я получаю сообщение об ошибке SSL.

Я приковал

  • 2_Серверный сертификат
  • 1_ Промежуточный сертификат
  • Корневой сертификат

в этом порядке и использовал полученный файл как ssl_cert в dovecot. У меня есть только две другие настройки SSL ssl=requiredиssl_key = </path

Кто-нибудь имел эту проблему раньше и придумал решение?

Максимум
источник
Связанный кросс-стек superuser.com/questions/1165464/… хотя этот человек даже не получил полезную ошибку от Safari.
dave_thompson_085
2
Вау. Продажа новых сертификатов, которые не будут приниматься самыми популярными, довольно обманчива.
CodesInChaos
Какое сообщение об ошибке?
Легкость гонок с Моникой

Ответы:

39

Ваша проблема - ваш CA: StartSSL.

Их сертификаты - ничто иное, как пустая трата электронов с этого года, потому что Apple, Google и Mozilla больше им не доверяют, и наверняка другие последуют за ними.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

Марк Штюрмер
источник
10
Таким образом, что-то вроде letsencrypt.org было бы лучшей заменой, несмотря на то, что их сертификаты были ограничены 90 днями.
Кригги
14
@Max Let's Encrypt вряд ли будет участвовать в мошенничестве, которое мы видели в StartCom / WoSign.
Майкл Хэмптон
15
@DepressedDaniel LE имеет все основания действовать как уважаемый, позитивный актер. StartSSL был проблематичным в течение многих лет, прежде чем его поймали, включая такие вещи, как взимание платы за отзыв Heartbleed. Вполне возможно назначить вероятности .
ceejayoz
5
@ Анхель Старый StartSSL, ты имеешь в виду? Мошенничество началось под WoSign. Однако до этого дерьмовые практики, такие как взимание платы за аннулирование Heartbleed. (Удар сердца в 2014 году; WoSign тайно купил их в 2015 году)
ceejayoz
3
Мы немного отстаем от темы, но ... Плата за отзывы с разбитым сердцем совершенно иная: плохая с точки зрения обслуживания клиентов, но не является нарушением чего-либо (когда вы регистрируетесь, стоимость отзыва не скрывается и не обижается) Никакой ошибки StartSSLs). Более недавнее поведение, которое привело к действиям производителей браузеров, было нарушением (или множественными нарушениями) модели доверия SSL
Дэвид