Mon certificat délivré par StartSSL n'est pas accepté par mes clients


18

J'ai demandé un nouveau certificat de serveur de classe 1 à StartSSL aujourd'hui et cela fonctionne très bien avec Apache et Dovecot + (Thunderbird / Outlook / OpenXChange), mais lorsque j'essaie de me connecter au serveur de messagerie à l'aide d'un client Apple (Mac / iPhone), Je reçois un message d'erreur SSL.

J'ai enchaîné le

  • 2_Certificat serveur
  • 1_Certificat intermédiaire
  • Certificat racine

dans cet ordre et utilisé le fichier résultant comme ssl_cert dans dovecot. Les deux seuls autres paramètres SSL que j'ai sont ssl=requiredetssl_key = </path

Quelqu'un at-il déjà rencontré ce problème et a trouvé une solution?


Cross-stack superuser.com/questions/1165464/… connexe bien que cette personne n'ait même pas obtenu une erreur utile de Safari.
dave_thompson_085

2
Sensationnel. Vendre de nouveaux certificats que les plus populaires n'accepteront pas est une arnaque.
CodesInChaos

Quel message d'erreur?
Courses de légèreté avec Monica

Réponses:


39

Votre problème est votre CA: StartSSL.

Leurs certificats ne sont rien d'autre qu'un gaspillage d'électrons depuis cette année, car Apple, Google et Mozilla ne leur font plus confiance dès le départ et à coup sûr d'autres suivront.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/


10
Donc, quelque chose comme letsencrypt.org serait un meilleur substitut, bien que leurs certificats soient limités à 90 jours.
Criggie

14
@Max Let's Encrypt est peu susceptible de se livrer au type de fraude que nous avons vu sur StartCom / WoSign.
Michael Hampton

15
@DepressedDaniel LE a toutes les indications de fonctionner comme un acteur positif de bonne réputation. StartSSL a été problématique pendant des années avant de se faire prendre, y compris des choses comme la facturation des révocations Heartbleed. Il est tout à fait possible d'attribuer des probabilités .
ceejayoz

5
@ Ángel Old StartSSL, tu veux dire? La fraude a commencé sous WoSign. Les pratiques de merde comme facturer les révocations Heartbleed étaient avant cela, cependant. (Heartbleed a frappé en 2014; WoSign les a secrètement achetés en 2015)
ceejayoz

3
Nous restons un peu en dehors du sujet, mais ... La tarification pour les révocations heartbleed est assez différente: mauvaise en termes de service client mais pas de violation de quoi que ce soit (lorsque vous vous inscrivez, le coût des révocations n'est pas activement caché et heartbleed wasn 't aucune faute de StartSSLs). Le comportement le plus récent qui a entraîné une action des fabricants de navigateurs était une violation (ou plusieurs violations) du modèle de confiance de SSL
David Spillett
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.