Problemas del certificado SSL de GoDaddy con Safari

11

Acabamos de recibir un nuevo certificado SSL de GoDaddy. Y, aunque todos los navegadores están bien con el certificado, Safari da el siguiente error:

Este certificado fue firmado por una autoridad desconocida.

Estamos usando un archivo de cadena en la siguiente configuración en Apache:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/godaddy.crt
SSLCertificateKeyFile /etc/apache2/ssl/godaddy.key
SSLCertificateChainFile /etc/apache2/ssl/gd_bundle2.crt

Al mirar en la web, parece que otros también han experimentado este problema ( http://blog.boxedice.com/2009/05/11/godaddy-ssl-certificates-and-cannot-verify-identity-on-macsafari/ ) Pero ninguna solución parece solucionar el problema.

¿Alguien sabe por qué esto podría ser causado, o tiene experiencia con esto y cómo solucionarlo?

apache-2.2 ssl godaddy safari Dijo Zed
fuente

Respuestas:

8

Verifique que el servidor entregue los certificados intermedios correctos en http://www.sslshopper.com/ssl-checker.html

Como sugirió martona, es posible que deba usar un paquete diferente.

Robert
fuente
Probé el ssl checker y todo parece estar bien ...
Dijo Zed el
¿Qué versión de Safari y Mac OS X tienes? Tal vez una actualización ayudará? Verifique si tiene el último certificado otorgado por el servidor en el verificador SSL en su llavero MAC OS X.
Robert
+1: esa es una herramienta útil.
Clinton Blackmore el
2

Es posible que esté utilizando la cadena de certificados incorrecta. Supongo que su "gd_bundle2.crt" es el mismo que "gd_bundle.crt" en esta página: https://certs.godaddy.com/anonymous/repository.seam

Esa cadena gd_bundle.crt tiene una "Autoridad de certificación Go Daddy Clase 2" que verifica hasta una raíz Valicert. Ya no creo que esto sea válido: GoDaddy parece emitir certificados firmados por la "Autoridad de certificación segura de Go Daddy" que a su vez está firmada por una "Autoridad de certificación de clase 2 Go Daddy", no firmada por Valicert. emitido en su cadena, por lo que no tiene nada que ver con su certificado real.

Vaya a la página mencionada anteriormente, descargue "gd-class2-root.crt" y luego descargue "gd_intermediate.crt". Concatene los dos archivos (son solo archivos de texto sin formato) en "mybundle.crt" y especifique este nuevo archivo en SSLCertificateChainFile. A ver si eso hace la diferencia.

martona
fuente
@Zed dijo, ¿esto funcionó para ti?
Stefan Lasiewski
Acabo de probar esto, y funcionó para mí ... ¡gracias!
Brad Parks el
1

Por alguna razón, Safari no se mantiene actualizado con las últimas autoridades de certificación raíz de confianza. Puede ponerse en contacto con el servicio al cliente y pedirles que le vuelvan a emitir un certificado con un certificado raíz de confianza diferente.

Rhett
fuente
1

Encontré este problema al agregar un certificado SSL StarField (comodín) a Apache en HPUX al usar sf_bundle.crt como mi certificado de cadena. Lo reemplacé con el sf_intermediate.crt más genérico (de https://certs.starfieldtech.com/anonymous/repository.seam ) como SSLCertificateChainFile, que resolvió el problema de Safari "autoridad desconocida" para mí.


fuente
0

No es una solución para el problema actual, pero son peculiaridades como esta las que me hacen comprar siempre mis certificados SSL de Thawte.

Brian De Smet
fuente