Sertifikat saya yang dikeluarkan oleh StartSSL tidak diterima oleh klien saya

18

Saya telah meminta sertifikat server kelas 1 baru dari StartSSL hari ini dan berfungsi baik dengan Apache dan Dovecot + (Thunderbird / Outlook / OpenXChange), tetapi ketika saya mencoba menyambung ke server email menggunakan klien Apple (Mac / iPhone), Saya mendapatkan pesan kesalahan SSL.

Saya telah merantai itu

  • 2_Server Certificate
  • 1_Sertifikat Intermediate
  • Sertifikat Root

dalam urutan ini dan menggunakan file yang dihasilkan sebagai ssl_cert di dovecot. Dua pengaturan SSL lainnya yang saya miliki adalah ssl=requireddanssl_key = </path

Adakah yang pernah mengalami masalah ini sebelumnya dan memberikan solusi?

ssl Maks
sumber
Super-stack superuser.com/questions/1165464/… terkait meskipun orang itu bahkan tidak mendapatkan kesalahan yang berguna dari Safari.
dave_thompson_085
2
Wow. Menjual sertifikat baru yang paling populer tidak akan menerimanya cukup curang.
CodesInChaos
Pesan kesalahan apa ?
Lightness Races dengan Monica
Lihat juga: Sertifikat StartSSL memberikan SEC_ERROR_REVOKED_CERTIFICATE di Firefox dan ERR_CERT_AUTHORITY_INVALID di Chrome
Stephen Ostermiller

Jawaban:

39

Masalah Anda adalah CA Anda: StartSSL.

Sertifikat mereka hanyalah buang-buang elektron sejak tahun ini, karena Apple, Google dan Mozilla tidak mempercayai mereka lagi di luar kotak dan pasti yang lain akan mengikuti.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

Marc Stürmer
sumber
10
Jadi sesuatu seperti letsencrypt.org akan menjadi pengganti yang lebih baik, meskipun sertifikat mereka dibatasi hingga 90 hari.
Criggie
14
@Max Let's Encrypt sangat tidak mungkin terlibat dalam jenis penipuan yang kami lihat di StartCom / WoSign.
Michael Hampton
15
@DepressedDaniel LE memiliki setiap indikasi beroperasi sebagai aktor positif yang memiliki reputasi baik. StartSSL bermasalah selama bertahun-tahun sebelum tertangkap, termasuk hal-hal seperti pengisian untuk pencabutan Heartbleed. Sangat mungkin untuk menetapkan kemungkinan .
ceejayoz
5
@ Ángel Old StartSSL, maksud Anda? Penipuan dimulai di bawah WoSign. Namun, praktik-praktik buruk seperti memungut biaya untuk pencabutan Heartbleed. (Hit Heartbleed pada 2014; WoSign diam-diam membelinya pada 2015)
ceejayoz
3
Kami sedikit menjauhi topik, tapi ... Penagihan untuk pencabutan yang sangat hati-hati sangat berbeda: buruk dalam hal layanan pelanggan tetapi tidak melanggar apa pun (ketika Anda mendaftar biaya pencabutan tidak secara aktif disembunyikan dan tidak dapat dihidupkan dengan hati tidak bukan kesalahan StartSSLs). Perilaku yang lebih baru yang mengakibatkan tindakan oleh pembuat browser adalah pelanggaran (atau beberapa pelanggaran) dari model kepercayaan SSL
David Spillett