Problemas de certificado SSL da GoDaddy no Safari

11

Acabamos de receber um novo certificado SSL do GoDaddy. E, embora todos os navegadores estejam bem com o certificado, o Safari fornece o seguinte erro:

Este certificado foi assinado por uma autoridade desconhecida.

Estamos usando um arquivo de cadeia na seguinte configuração no Apache:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/godaddy.crt
SSLCertificateKeyFile /etc/apache2/ssl/godaddy.key
SSLCertificateChainFile /etc/apache2/ssl/gd_bundle2.crt

Olhando pela web, parece que outras pessoas também tiveram esse problema ( http://blog.boxedice.com/2009/05/11/godaddy-ssl-certificates-and-cannot-verify-identity-on-macsafari/ ) Mas nenhuma solução parece resolver o problema.

Alguém sabe por que isso seria causado ou tem experiência com isso e como corrigi-lo?

Zed Said
fonte

Respostas:

8

Verifique se os certificados intermediários corretos estão sendo fornecidos pelo servidor em http://www.sslshopper.com/ssl-checker.html

Como sugerido por martona, pode ser necessário usar um pacote diferente.

Robert
fonte
Tentei o verificador ssl e tudo parece estar bem ... #
226 Zed Disse
Qual versão do Safari e Mac OS X você possui? Talvez uma atualização ajude? Verifique se você possui o último certificado fornecido pelo servidor no verificador SSL em seu conjunto de chaves do MAC OS X.
23411 Robert
+1 - essa é uma ferramenta útil.
Clinton Blackmore
2

Você pode estar usando a cadeia de certificação errada. Presumo que seu "gd_bundle2.crt" seja o mesmo que "gd_bundle.crt" nesta página: https://certs.godaddy.com/anonymous/repository.seam

Essa cadeia gd_bundle.crt possui uma "Autoridade de certificação Go Daddy Class 2" que verifica até uma raiz Valicert. Acho que isso não é mais válido - o GoDaddy parece emitir documentos assinados pela "Autoridade de Certificação Segura Go Daddy", que por sua vez é assinada por uma "Autoridade de Certificação Go Daddy Classe 2 auto-assinada" - e não pela Valicert emitido em sua cadeia, por isso não tem nada a ver com seu certificado real.

Vá para a página mencionada acima, faça o download de "gd-class2-root.crt" e depois faça o download de "gd_intermediate.crt". Concatene os dois arquivos (eles são apenas arquivos de texto sem formatação) em "mybundle.crt" e especifique esse novo arquivo no SSLCertificateChainFile. Veja se isso faz diferença.

martona
fonte
@Zed Said, isso funcionou para você?
Stefan Lasiewski
Eu apenas tentei isso, e funcionou para mim ... obrigado!
Brad Parks
1

Por alguma razão, o Safari não se mantém atualizado com as mais recentes autoridades de certificação raiz confiáveis. Você pode entrar em contato com o atendimento ao cliente e solicitar que eles reemitam um certificado com um certificado raiz confiável diferente.

Rhett
fonte
1

Encontrei esse problema ao adicionar um certificado SSL StarField (curinga) ao Apache no HPUX ao usar sf_bundle.crt como meu certificado de cadeia. Substituí-lo pelo sf_intermediate.crt mais genérico (de https://certs.starfieldtech.com/anonymous/repository.seam ) como SSLCertificateChainFile, que resolveu o problema de "autoridade desconhecida" do Safari para mim.


fonte
0

Não é exatamente uma solução para o problema real em questão, mas são essas peculiaridades que me levam a sempre comprar meus certificados SSL da Thawte.

Brian De Smet
fonte