Mein von StartSSL ausgestelltes Zertifikat wird von meinen Kunden nicht akzeptiert

18

Ich habe heute ein neues Klasse-1-Serverzertifikat von StartSSL angefordert und es funktioniert hervorragend mit Apache und Dovecot + (Thunderbird / Outlook / OpenXChange), aber wenn ich versuche, über einen Apple-Client (Mac / iPhone) eine Verbindung zum Mailserver herzustellen, Ich erhalte eine SSL-Fehlermeldung.

Ich habe die angekettet

  • 2_Server-Zertifikat
  • 1_Zwischenzeugnis
  • Stammzertifikat

in dieser Reihenfolge und verwendet die resultierende Datei als ssl_cert in Dovecot. Die einzigen anderen zwei SSL-Einstellungen, die ich habe, sind ssl=requiredundssl_key = </path

Hat jemand dieses Problem schon einmal gehabt und eine Lösung gefunden?

ssl Max
quelle
Verwandte Cross-Stack-Funktionen superuser.com/questions/1165464/… obwohl diese Person nicht einmal einen nützlichen Fehler von Safari erhalten hat.
Dave_thompson_085
2
Wow. Der Verkauf neuer Zertifikate, die am häufigsten nicht akzeptiert werden, ist ziemlich betrügerisch.
CodesInChaos
Welche Fehlermeldung?
Leichtigkeit Rennen mit Monica
Siehe auch: StartSSL Zertifikat SEC_ERROR_REVOKED_CERTIFICATE in Firefox und ERR_CERT_AUTHORITY_INVALID in Chrome gibt
Stephen Ostermiller

Antworten:

39

Ihr Problem ist Ihre CA: StartSSL.

Ihre Zertifikate sind seit diesem Jahr nichts anderes als eine Verschwendung von Elektronen, da Apple, Google und Mozilla ihnen nicht mehr ohne weiteres vertrauen und mit Sicherheit weitere folgen werden.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

Marc Stürmer
quelle
10
So etwas wie letsencrypt.org wäre ein besserer Ersatz, obwohl ihre Zertifikate auf 90 Tage begrenzt sind.
Criggie
14
Es ist ziemlich unwahrscheinlich, dass @Max Let's Encrypt in die Art von Betrug verwickelt wird, die wir in StartCom / WoSign gesehen haben.
Michael Hampton
15
@DepressedDaniel LE hat alle Anzeichen dafür, dass es sich um einen seriösen, positiven Schauspieler handelt. StartSSL war jahrelang problematisch, bevor es erwischt wurde, einschließlich Sachen wie das Aufladen von Heartbleed-Widerrufen. Es ist durchaus möglich, Wahrscheinlichkeiten zuzuweisen .
Ceejayoz
5
@ Ángel Old StartSSL, meinst du? Betrug begann unter WoSign. Davor gab es allerdings beschissene Praktiken wie das Aufladen der Heartbleed-Widerrufe. (Heartbleed Hit im Jahr 2014; WoSign hat sie im Jahr 2015 heimlich gekauft)
ceejayoz
3
Wir bleiben ein bisschen abseits des Themas, aber ... Die Gebühren für Heartbleed-Widerrufe sind ganz anders: schlecht in Bezug auf die Kundenbetreuung, aber keine Verletzung von irgendetwas (wenn Sie sich anmelden, werden die Kosten für Widerrufe nicht aktiv verborgen und Heartbleed warn 't irgendein Fehler von StartSSLs). Das neuere Verhalten, das zu Aktionen der Browserhersteller führte, war ein Verstoß (oder mehrere Verstöße) gegen das Vertrauensmodell von SSL
David Spillett,