Các vấn đề về chứng chỉ SSL của GoDaddy với Safari

Chúng tôi vừa nhận được chứng chỉ SSL mới từ GoDaddy. Và, trong khi tất cả các trình duyệt đều ổn với chứng chỉ, Safari đưa ra lỗi sau:

Giấy chứng nhận này đã được ký bởi một cơ quan không xác định.

Chúng tôi đang sử dụng một tệp chuỗi trong cấu hình sau trong Apache:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/godaddy.crt
SSLCertificateKeyFile /etc/apache2/ssl/godaddy.key
SSLCertificateChainFile /etc/apache2/ssl/gd_bundle2.crt

Nhìn trên web, có vẻ như những người khác cũng đã gặp phải vấn đề này ( http://blog.boxedice.com/2009/05/11/godaddy-ssl-certert-and-cannot-verify-identity-on-macsafari/ ) Nhưng không có giải pháp nào có vẻ khắc phục vấn đề.

Có ai biết tại sao điều này sẽ được gây ra, hoặc có kinh nghiệm với điều này xảy ra, và làm thế nào để khắc phục nó?

Xác minh rằng các chứng chỉ trung gian chính xác đang được cung cấp bởi máy chủ tại http://www.sslshopper.com/ssl-checker.html

Như martona đề xuất, bạn có thể cần phải sử dụng một gói khác.

Bạn có thể đang sử dụng chuỗi chứng chỉ sai. Tôi giả sử "gd_bundle2.crt" của bạn giống với "gd_bundle.crt" trên trang này: https://certs.godaddy.com/anonymous/reposeective.seam

Chuỗi gd_bundle.crt đó có "Cơ quan chứng nhận lớp 2 của cha" xác minh đến một gốc Valicert. Tôi không nghĩ rằng điều này còn hợp lệ nữa - GoDaddy dường như phát hành các certs được ký bởi "Cơ quan chứng nhận an toàn Go Daddy", lần lượt được ký bởi một "Cơ quan chứng nhận Go Daddy Class 2" tự ký khác - không phải là Valicert được cấp trong chuỗi của bạn, vì vậy nó không liên quan gì đến chứng chỉ thực tế của bạn.

Chuyển đến trang được tham chiếu ở trên, tải xuống "gd-class2-root.crt" sau đó tải xuống "gd_inter liền.crt". Ghép nối hai tệp (chúng chỉ là tệp văn bản thuần túy) thành "mybundle.crt" và chỉ định tệp mới này trong SSLCertertChainFile. Xem nếu điều đó làm cho một sự khác biệt.

Vì một số lý do, Safari không cập nhật với các cơ quan chứng nhận gốc đáng tin cậy mới nhất. Bạn có thể liên hệ với dịch vụ khách hàng và yêu cầu họ cấp lại cho bạn một chứng chỉ với chứng chỉ gốc đáng tin cậy khác.

Tôi gặp phải vấn đề này khi thêm chứng chỉ SSL StarField (ký tự đại diện) vào Apache trên HPUX khi sử dụng sf_bundle.crt làm chứng chỉ chuỗi của tôi. Tôi đã thay thế nó bằng sf_inter liền.crt chung hơn (từ https://certs.starfieldtech.com/anonymous/reposeective.seam ) dưới dạng SSLCertertChainFile, giải quyết vấn đề "quyền hạn không xác định" của Safari đối với tôi.

Không hoàn toàn là một giải pháp cho vấn đề thực tế trong tay, nhưng chính những điều kỳ quặc như thế này khiến tôi luôn phải mua giấy chứng nhận SSL từ Thawte.