Probleme mit dem GoDaddy-SSL-Zertifikat mit Safari

11

Wir haben gerade ein neues SSL-Zertifikat von GoDaddy erhalten. Obwohl alle Browser mit dem Zertifikat einverstanden sind, gibt Safari den folgenden Fehler aus:

Dieses Zertifikat wurde von einer unbekannten Behörde unterzeichnet.

Wir verwenden eine Kettendatei in der folgenden Konfiguration in Apache:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/godaddy.crt
SSLCertificateKeyFile /etc/apache2/ssl/godaddy.key
SSLCertificateChainFile /etc/apache2/ssl/gd_bundle2.crt

Wenn Sie sich im Internet umschauen, scheinen andere dieses Problem ebenfalls aufgetreten zu sein ( http://blog.boxedice.com/2009/05/11/godaddy-ssl-certificates-and-cannot-verify-identity-on-macsafari/). ) Aber keine Lösung scheint das Problem zu beheben.

Weiß jemand, warum dies verursacht wird, oder hat er Erfahrung damit und wie man es behebt?

Sagte Zed
quelle

Antworten:

8

Stellen Sie sicher, dass der Server unter http://www.sslshopper.com/ssl-checker.html die richtigen Zwischenzertifikate ausstellt

Wie von Martona vorgeschlagen, müssen Sie möglicherweise ein anderes Bundle verwenden.

Robert
quelle
Versuchte den SSL-Checker und alles scheint in Ordnung zu sein ...
Zed sagte
Welche Version von Safari und Mac OS X haben Sie? Vielleicht hilft ein Update? Überprüfen Sie, ob Sie das letzte vom Server ausgestellte Zertifikat im SSL-Checker in Ihrem MAC OS X-Schlüsselbund haben.
Robert
+1 - das ist ein praktisches Werkzeug.
Clinton Blackmore
2

Möglicherweise verwenden Sie die falsche Zertifizierungskette. Ich gehe davon aus, dass "gd_bundle2.crt" mit "gd_bundle.crt" auf dieser Seite identisch ist: https://certs.godaddy.com/anonymous/repository.seam

Diese Kette gd_bundle.crt verfügt über eine "Go Daddy Class 2 Certification Authority", die bis zu einer Valicert-Wurzel überprüft. Ich glaube nicht, dass dies mehr gültig ist - GoDaddy scheint Zertifikate auszustellen, die von der "Go Daddy Secure Certification Authority" signiert sind, die wiederum von einer anderen, selbst signierten "Go Daddy Class 2 Certification Authority" signiert ist - nicht von der Valicert -ausgestellt in Ihrer Kette, hat es also nichts mit Ihrem tatsächlichen Zertifikat zu tun.

Gehen Sie zu der oben genannten Seite, laden Sie "gd-class2-root.crt" herunter und laden Sie dann "gd_intermediate.crt" herunter. Verketten Sie die beiden Dateien (es handelt sich nur um reine Textdateien) in "mybundle.crt" und geben Sie diese neue Datei in SSLCertificateChainFile an. Sehen Sie, ob das einen Unterschied macht.

martona
quelle
@Zed Said, hat das für dich funktioniert?
Stefan Lasiewski
Ich habe es gerade versucht und es hat bei mir funktioniert ... danke!
Brad Parks
1

Aus irgendeinem Grund bleibt Safari nicht über die neuesten vertrauenswürdigen Root-Zertifizierungsstellen auf dem Laufenden. Sie können sich an den Kundendienst wenden und ihn bitten, Ihnen ein Zertifikat mit einem anderen vertrauenswürdigen Stammzertifikat erneut auszustellen.

Rhett
quelle
1

Dieses Problem trat auf, als ich Apache unter HPUX ein StarField-SSL-Zertifikat (Platzhalter) hinzufügte, wenn ich sf_bundle.crt als Kettenzertifikat verwendete. Ich habe es durch das allgemeinere sf_intermediate.crt (von https://certs.starfieldtech.com/anonymous/repository.seam ) als SSLCertificateChainFile ersetzt, wodurch das Safari-Problem "unbekannte Autorität" für mich behoben wurde.


quelle
0

Keine Lösung für das eigentliche Problem, aber es sind solche Macken, die mich veranlassen, meine SSL-Zertifikate immer bei Thawte zu kaufen.

Brian De Smet
quelle