我的客户不接受由StartSSL颁发的我的证书

18

我今天从StartSSL申请了一个新的1类服务器证书,它可以与Apache和Dovecot +(Thunderbird / Outlook / OpenXChange)一起很好地工作,但是当我尝试使用Apple客户端(Mac / iPhone)连接到邮件服务器时,我收到一条SSL错误消息。

我已经把

  • 2_服务器证书
  • 1_中级证书
  • 根证书

按此顺序,并将结果文件用作dovecot中的ssl_cert。我仅有的另外两个SSL设置是ssl=requiredssl_key = </path

有人遇到过这个问题并想出解决方案吗?

ssl 
最高
source
相关的跨堆栈superuser.com/questions/1165464/…尽管该人甚至没有从Safari中得到有用的错误。
dave_thompson_085
2
哇。出售最受欢迎的新证书是很骗人的。
CodesInChaos
什么错误消息?
与莫妮卡(Monica)
Stephen Ostermiller

Answers:

39

您的问题是您的CA:StartSSL。

自今年以来,它们的证书不过是浪费电子,因为苹果,谷歌和Mozilla不再信任它们,并且可以肯定其他人也会效仿。

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

马克·斯蒂默(MarcStürmer)
source
10
因此 ,尽管letencrypt.org的证书被限制为90天,但它会是更好的替代品。
Criggie '17
14
@Max Let's Encrypt不太可能会发生我们从StartCom / WoSign中看到的那种欺诈行为。
迈克尔·汉普顿
15
@DepressedDaniel LE有各种迹象表明他是一位有名望的积极演员。StartSSL在被捕获之前已经存在多年的问题了,其中包括对Heartbleed撤销收费的事情。分配可能性完全是可能的。
ceejayoz
5
@Ángel旧StartSSL,您的意思是?欺诈始于WoSign。但是,在此之前就出现了像对Heartbleed吊销收费这样的卑鄙行为。(2014年重创版; WoSign在2015年秘密购买了它们)
ceejayoz
3
我们离主题有点远,但是...令人心碎的撤销的收费是完全不同的:就客户服务而言是坏的,但没有违反任何规定(当您签署撤销的费用时,不会被积极隐藏,并且令人沮丧的浪费了)没有StartSSL的任何错误)。浏览器制造商最近采取的行动是违反(或多次违反)SSL信任模型的行为
David Spillett
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.