Acabamos de receber um novo certificado SSL do GoDaddy. E, embora todos os navegadores estejam bem com o certificado, o Safari fornece o seguinte erro:
Este certificado foi assinado por uma autoridade desconhecida.
Estamos usando um arquivo de cadeia na seguinte configuração no Apache:
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/godaddy.crt
SSLCertificateKeyFile /etc/apache2/ssl/godaddy.key
SSLCertificateChainFile /etc/apache2/ssl/gd_bundle2.crt
Olhando pela web, parece que outras pessoas também tiveram esse problema ( http://blog.boxedice.com/2009/05/11/godaddy-ssl-certificates-and-cannot-verify-identity-on-macsafari/ ) Mas nenhuma solução parece resolver o problema.
Alguém sabe por que isso seria causado ou tem experiência com isso e como corrigi-lo?
fonte
Você pode estar usando a cadeia de certificação errada. Presumo que seu "gd_bundle2.crt" seja o mesmo que "gd_bundle.crt" nesta página: https://certs.godaddy.com/anonymous/repository.seam
Essa cadeia gd_bundle.crt possui uma "Autoridade de certificação Go Daddy Class 2" que verifica até uma raiz Valicert. Acho que isso não é mais válido - o GoDaddy parece emitir documentos assinados pela "Autoridade de Certificação Segura Go Daddy", que por sua vez é assinada por uma "Autoridade de Certificação Go Daddy Classe 2 auto-assinada" - e não pela Valicert emitido em sua cadeia, por isso não tem nada a ver com seu certificado real.
Vá para a página mencionada acima, faça o download de "gd-class2-root.crt" e depois faça o download de "gd_intermediate.crt". Concatene os dois arquivos (eles são apenas arquivos de texto sem formatação) em "mybundle.crt" e especifique esse novo arquivo no SSLCertificateChainFile. Veja se isso faz diferença.
fonte
Por alguma razão, o Safari não se mantém atualizado com as mais recentes autoridades de certificação raiz confiáveis. Você pode entrar em contato com o atendimento ao cliente e solicitar que eles reemitam um certificado com um certificado raiz confiável diferente.
fonte
Encontrei esse problema ao adicionar um certificado SSL StarField (curinga) ao Apache no HPUX ao usar sf_bundle.crt como meu certificado de cadeia. Substituí-lo pelo sf_intermediate.crt mais genérico (de https://certs.starfieldtech.com/anonymous/repository.seam ) como SSLCertificateChainFile, que resolveu o problema de "autoridade desconhecida" do Safari para mim.
fonte
Não é exatamente uma solução para o problema real em questão, mas são essas peculiaridades que me levam a sempre comprar meus certificados SSL da Thawte.
fonte