iOS - como obter o aplicativo de e-mail para reconhecer e confiar em certificados SSL personalizados ou autoassinados de um perfil?

Executando o iOS 10.2 Eu adicionei os certificados raiz do CAcert ao meu perfil do iPhone usando várias maneiras:

• diretamente de seu site no Safari móvel
• enviado por e-mail para o aplicativo de e-mail
• adicionando um perfil com o software Apple Configurator 2

cada vez que os certificados aparecem no perfil, mas são marcados como "não verificados / validados" em vermelho.

Sempre que o aplicativo de e-mail tenta se conectar ao servidor de e-mail, aparece uma caixa de diálogo de aviso que não pode validar o servidor de e-mail. Conseqüentemente, ele não se conecta. Além disso, os pop-ups são muito irritantes.

No MacOS, os certificados CAcert são adicionados ao Keychain e o MacOS Mail funciona bem. O mesmo acontece com todos os navegadores e o Apache em execução na mesma caixa. É um certificado curinga (* .example.com) que eu uso para todos os serviços. Tudo bem, exceto mail.app no ​​iOS - isso também costumava funcionar bem com o aplicativo de e-mail no passado, a propósito (versão mais antiga do iOS).

Uma idéias?

Além do certificado raiz, você também precisará adicionar o certificado intermediário em alguns casos, caso o servidor de e-mail ao qual você está se conectando não apresente a cadeia completa de certificados.

Você pode baixar o certificado intermediário aqui:

http://www.cacert.org/?id=3

Eu tive o mesmo problema que eu instalo a raiz e intermediário do CaCert através do perfil móvel do iPhone Configurator 2. Isso funciona com dispositivos iOS9 e MacOS perfeitamente. No entanto, com o iOS10, parece que o CACert não é confiável.
Nem é listado na página de configuração "override".

Só posso concluir que com o iOS10 o critério de validação de certificado foi reforçado e que o CACert contém algo que a Apple considera não confiável.

Não é possível encontrar alguém no suporte da Apple para dizer por que não funciona :-(