Problèmes de certificat SSL GoDaddy avec Safari

11

Nous venons de recevoir un nouveau certificat SSL de GoDaddy. Et, alors que tous les navigateurs acceptent le certificat, Safari donne l'erreur suivante:

Ce certificat a été signé par une autorité inconnue.

Nous utilisons un fichier de chaîne dans la configuration suivante dans Apache:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/godaddy.crt
SSLCertificateKeyFile /etc/apache2/ssl/godaddy.key
SSLCertificateChainFile /etc/apache2/ssl/gd_bundle2.crt

En regardant sur le Web, il semble que d'autres ont également rencontré ce problème ( http://blog.boxedice.com/2009/05/11/godaddy-ssl-certificates-and-cannot-verify-identity-on-macsafari/ ) Mais aucune solution ne semble résoudre le problème.

Quelqu'un sait-il pourquoi cela pourrait-il être causé, ou a-t-il de l'expérience avec cela, et comment y remédier?

— Zed Said
source

8

Vérifiez que les bons certificats intermédiaires sont délivrés par le serveur à http://www.sslshopper.com/ssl-checker.html

Comme l'a suggéré martona, vous devrez peut-être utiliser un autre ensemble.

— Robert
source

J'ai essayé le vérificateur SSL et tout semble aller bien ...

— Zed Said

Quelle version de Safari et Mac OS X avez-vous? Peut-être qu'une mise à jour vous aidera? Vérifiez si vous disposez du dernier certificat délivré par le serveur dans le vérificateur SSL de votre trousseau MAC OS X.

— Robert

+1 - c'est un outil pratique.

— Clinton Blackmore

2

Vous utilisez peut-être la mauvaise chaîne de certificats. Je suppose que votre "gd_bundle2.crt" est le même que "gd_bundle.crt" sur cette page: https://certs.godaddy.com/anonymous/repository.seam

Cette chaîne gd_bundle.crt possède une «autorité de certification Go Daddy Class 2» qui vérifie jusqu'à une racine Valicert. Je ne pense pas que ce soit plus valable - GoDaddy semble émettre des certificats signés par "Go Daddy Secure Certification Authority" qui est à son tour signé par une autre "Go Daddy Class 2 Certification Authority" auto-signée - pas Valicert -émis un dans votre chaîne, donc cela n'a rien à voir avec votre certificat actuel.

Accédez à la page référencée ci-dessus, téléchargez "gd-class2-root.crt" puis téléchargez "gd_intermediate.crt". Concaténez les deux fichiers (ce ne sont que des fichiers texte) dans "mybundle.crt" et spécifiez ce nouveau fichier dans SSLCertificateChainFile. Voyez si cela fait une différence.

— martona
source

@Zed Said, est-ce que cela a fonctionné pour vous?

— Stefan Lasiewski

Je viens de l'essayer et cela a fonctionné pour moi ... merci!

— Brad Parks

1

Pour une raison quelconque, Safari ne reste pas à jour avec les dernières autorités de certification racine de confiance. Vous pouvez contacter le service client et leur demander de vous réémettre un certificat avec un certificat racine de confiance différent.

— Rhett
source

1

J'ai rencontré ce problème lors de l'ajout d'un certificat SSL StarField (caractère générique) à Apache sur HPUX lors de l'utilisation de sf_bundle.crt comme certificat de chaîne. Je l'ai remplacé par le plus générique sf_intermediate.crt (de https://certs.starfieldtech.com/anonymous/repository.seam ) en tant que SSLCertificateChainFile, ce qui a résolu le problème de Safari "autorité inconnue" pour moi.

0

Ce n'est pas vraiment une solution au problème actuel, mais ce sont des bizarreries comme celle-ci qui m'incitent à toujours acheter mes certificats SSL de Thawte.

— Brian De Smet
source