Chứng chỉ của tôi do StartSSL cấp không được khách hàng của tôi chấp nhận

18

Tôi đã yêu cầu chứng chỉ máy chủ lớp 1 mới từ StartSSL hôm nay và nó hoạt động rất tốt với Apache và Dovecot + (Thunderbird / Outlook / OpenXChange), nhưng khi tôi cố gắng kết nối với máy chủ thư bằng máy khách Apple (Mac / iPhone), Tôi nhận được một thông báo lỗi SSL.

Tôi đã xâu chuỗi

  • Chứng chỉ 2_Server
  • 1_ Chứng chỉ trước mắt
  • Chứng chỉ gốc

theo thứ tự này và sử dụng tệp kết quả là ssl_cert trong dovecot. Hai cài đặt SSL khác tôi có là ssl=requiredssl_key = </path

Có ai có vấn đề này trước đây và đưa ra một giải pháp?

ssl 
Tối đa
nguồn
Superuser stack crosspass.com/questions/1165464/ khăn mặc dù người đó thậm chí không nhận được một lỗi hữu ích từ Safari.
dave_thndry_085
2
Ồ Bán chứng chỉ mới mà hầu hết không chấp nhận là khá lừa đảo.
CodeInChaos
Thông báo lỗi gì?
Cuộc đua nhẹ nhàng với Monica
Stephen Ostermiller

Câu trả lời:

39

Vấn đề của bạn là CA của bạn: StartSSL.

Chứng chỉ của họ không có gì ngoài sự lãng phí điện tử kể từ năm nay, bởi vì Apple, Google và Mozilla không còn tin tưởng họ nữa và chắc chắn những người khác sẽ làm theo.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certert/

Marc Sturmer
nguồn
10
Vì vậy, một cái gì đó như letencrypt.org sẽ là một sự thay thế tốt hơn, mặc dù certs của họ bị giới hạn trong 90 ngày.
Criggie
14
@Max Let Encrypt khá khó có thể tham gia vào loại lừa đảo mà chúng tôi đã thấy từ StartCom / WoSign.
Michael Hampton
15
@DepressionDaniel LE có mọi dấu hiệu hoạt động như một diễn viên tích cực, có uy tín. StartSSL đã gặp vấn đề trong nhiều năm trước khi bị bắt, bao gồm cả những thứ như tính phí cho các vụ hủy bỏ Heartbleed. Hoàn toàn có thể chỉ định khả năng .
ceejayoz
5
@ Ángel StartSSL cũ, ý bạn là gì? Gian lận bắt đầu dưới WoSign. Mặc dù vậy, các hoạt động nhảm nhí như tính phí cho các cuộc hủy bỏ Heartbleed là trước đó. (Heartbleed hit năm 2014; WoSign đã bí mật mua chúng vào năm 2015)
ceejayoz
3
Chúng tôi đang ở ngoài chủ đề một chút, nhưng ... Việc tính phí cho các cuộc hủy bỏ đau lòng là khá khác nhau: xấu về mặt chăm sóc khách hàng nhưng không vi phạm bất cứ điều gì (khi bạn đăng ký, chi phí hủy bỏ không được tích cực che giấu và đau lòng không có bất kỳ lỗi nào của StartSSL). Hành vi gần đây dẫn đến hành động của các nhà sản xuất trình duyệt là vi phạm (hoặc vi phạm nhiều lần) mô hình ủy thác của SSL
David Spillett
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.