Mis clientes no aceptan mi certificado emitido por StartSSL

18

Hoy he solicitado un nuevo certificado de servidor de clase 1 a StartSSL y está funcionando muy bien con Apache y Dovecot + (Thunderbird / Outlook / OpenXChange), pero cuando intento conectarme al servidor de correo usando un cliente Apple (Mac / iPhone), Recibo un mensaje de error SSL.

He encadenado el

  • 2_ Certificado de servidor
  • 1_ Certificado intermedio
  • Certificado de raíz

en este orden y usé el archivo resultante como ssl_cert en dovecot. Las otras dos configuraciones SSL que tengo son ssl=requiredyssl_key = </path

¿Alguien ha tenido este problema antes y se le ocurrió una solución?

ssl Max
fuente
Superusuario cruzado relacionado superques.com/questions/1165464/… aunque esa persona ni siquiera recibió un error útil de Safari.
dave_thompson_085
2
Guau. Vender nuevos certificados que los más populares no aceptarán es bastante fraudulento.
CodesInChaos
¿Qué mensaje de error?
Lightness compite con Monica el
Ver también: el certificado StartSSL proporciona SEC_ERROR_REVOKED_CERTIFICATE en Firefox y ERR_CERT_AUTHORITY_INVALID en Chrome
Stephen Ostermiller el

Respuestas:

39

Su problema es su CA: StartSSL.

Sus certificados no son más que un desperdicio de electrones desde este año, porque Apple, Google y Mozilla ya no confían en ellos fuera de la caja y seguramente otros seguirán.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

Marc Stürmer
fuente
10
Entonces, algo como letsencrypt.org sería un mejor sustituto, a pesar de que sus certificados se limitan a 90 días.
Criggie
14
Es muy poco probable que @Max Let's Encrypt se involucre en el tipo de fraude que vimos en StartCom / WoSign.
Michael Hampton
15
@DepressedDaniel LE tiene todos los indicios de operar como un actor positivo y de buena reputación. StartSSL fue problemático durante años antes de quedar atrapado, incluyendo cosas como cobrar por las revocaciones de Heartbleed. Es completamente posible asignar probabilidades .
ceejayoz
55
@ Ángel Old StartSSL, ¿quieres decir? El fraude comenzó bajo WoSign. Sin embargo, las prácticas de mierda como cobrar por las revocaciones de Heartbleed eran anteriores. (Golpe de corazón en 2014; WoSign los compró en secreto en 2015)
ceejayoz
3
Nos mantenemos un poco alejados del tema, pero ... El cobro por las revocaciones sangrientas es bastante diferente: malo en términos de atención al cliente, pero no es una violación de nada (cuando se registra, el costo de las revocaciones no está oculto activamente y el corazón sangrante no era No es culpa de StartSSLs). El comportamiento más reciente que resultó en la acción de los fabricantes de navegadores fue una violación (o múltiples violaciones) del modelo de confianza de SSL
David Spillett