Meu certificado emitido pelo StartSSL não é aceito pelos meus clientes

18

Hoje, solicitei um novo certificado de servidor de classe 1 ao StartSSL e está funcionando muito bem com Apache e Dovecot + (Thunderbird / Outlook / OpenXChange), mas quando tento conectar-me ao servidor de email usando um cliente Apple (Mac / iPhone), Eu recebo uma mensagem de erro SSL.

Eu acorrentei o

  • 2_Server Certificate
  • 1_ Certificado intermediário
  • Certificado raiz

nessa ordem e usou o arquivo resultante como ssl_cert no dovecot. As únicas outras duas configurações SSL que tenho são ssl=requiredessl_key = </path

Alguém já teve esse problema antes e veio com uma solução?

ssl 
Máx.
fonte
Relacionado cruz-stack superuser.com/questions/1165464/... embora essa pessoa nem sequer obter um erro útil do Safari.
precisa saber é o seguinte
2
Uau. Vender novos certificados que os mais populares não aceitam é bastante fraudulento.
CodesInChaos
Que mensagem de erro?
Lightness Races com Monica
Stephen Ostermiller

Respostas:

39

Seu problema é seu CA: StartSSL.

Seus certificados são apenas um desperdício de elétrons desde este ano, porque Apple, Google e Mozilla não confiam mais neles imediatamente e com certeza outros o seguirão.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

Marc Stürmer
fonte
10
Portanto, algo como letsencrypt.org seria um substituto melhor, apesar de os certificados serem limitados a 90 dias.
Criggie
14
É improvável que o @Max Let's Encrypt se envolva no tipo de fraude que vimos no StartCom / WoSign.
Michael Hampton
15
O @DepressedDaniel LE tem todas as indicações de operar como um ator respeitável e positivo. O StartSSL foi problemático por anos antes de ser pego, incluindo coisas como cobrar por revogações do Heartbleed. É inteiramente possível atribuir probabilidades .
precisa saber é o seguinte
5
@ Ángel Old StartSSL, você quer dizer? A fraude começou sob a WoSign. Práticas de merda como cobrar pelas revogações do Heartbleed foram antes disso, no entanto. (Heartbleed atingido em 2014; WoSign secretamente comprou em 2015)
ceejayoz
3
Estamos ficando um pouco fora do assunto, mas ... A cobrança por revogações sinceras é bem diferente: ruim em termos de atendimento ao cliente, mas não uma violação de nada (quando você se inscreve, o custo das revogações não está ativamente oculto e não é sincero. falha de StartSSLs). O comportamento mais recente que resultou em uma ação dos fabricantes de navegadores foi uma violação (ou várias violações) do modelo de confiança do SSL
David Spillett
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.