Meu certificado emitido pelo StartSSL não é aceito pelos meus clientes

18

Hoje, solicitei um novo certificado de servidor de classe 1 ao StartSSL e está funcionando muito bem com Apache e Dovecot + (Thunderbird / Outlook / OpenXChange), mas quando tento conectar-me ao servidor de email usando um cliente Apple (Mac / iPhone), Eu recebo uma mensagem de erro SSL.

Eu acorrentei o

  • 2_Server Certificate
  • 1_ Certificado intermediário
  • Certificado raiz

nessa ordem e usou o arquivo resultante como ssl_cert no dovecot. As únicas outras duas configurações SSL que tenho são ssl=requiredessl_key = </path

Alguém já teve esse problema antes e veio com uma solução?

ssl Máx.
fonte
Relacionado cruz-stack superuser.com/questions/1165464/... embora essa pessoa nem sequer obter um erro útil do Safari.
precisa saber é o seguinte
2
Uau. Vender novos certificados que os mais populares não aceitam é bastante fraudulento.
CodesInChaos
Que mensagem de erro?
Lightness Races com Monica
Veja também: certificado startssl dá SEC_ERROR_REVOKED_CERTIFICATE no Firefox e ERR_CERT_AUTHORITY_INVALID no Chrome
Stephen Ostermiller

Respostas:

39

Seu problema é seu CA: StartSSL.

Seus certificados são apenas um desperdício de elétrons desde este ano, porque Apple, Google e Mozilla não confiam mais neles imediatamente e com certeza outros o seguirão.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

Marc Stürmer
fonte
10
Portanto, algo como letsencrypt.org seria um substituto melhor, apesar de os certificados serem limitados a 90 dias.
Criggie
14
É improvável que o @Max Let's Encrypt se envolva no tipo de fraude que vimos no StartCom / WoSign.
Michael Hampton
15
O @DepressedDaniel LE tem todas as indicações de operar como um ator respeitável e positivo. O StartSSL foi problemático por anos antes de ser pego, incluindo coisas como cobrar por revogações do Heartbleed. É inteiramente possível atribuir probabilidades .
precisa saber é o seguinte
5
@ Ángel Old StartSSL, você quer dizer? A fraude começou sob a WoSign. Práticas de merda como cobrar pelas revogações do Heartbleed foram antes disso, no entanto. (Heartbleed atingido em 2014; WoSign secretamente comprou em 2015)
ceejayoz
3
Estamos ficando um pouco fora do assunto, mas ... A cobrança por revogações sinceras é bem diferente: ruim em termos de atendimento ao cliente, mas não uma violação de nada (quando você se inscreve, o custo das revogações não está ativamente oculto e não é sincero. falha de StartSSLs). O comportamento mais recente que resultou em uma ação dos fabricantes de navegadores foi uma violação (ou várias violações) do modelo de confiança do SSL
David Spillett