Mon certificat délivré par StartSSL n'est pas accepté par mes clients

18

J'ai demandé un nouveau certificat de serveur de classe 1 à StartSSL aujourd'hui et cela fonctionne très bien avec Apache et Dovecot + (Thunderbird / Outlook / OpenXChange), mais lorsque j'essaie de me connecter au serveur de messagerie à l'aide d'un client Apple (Mac / iPhone), Je reçois un message d'erreur SSL.

J'ai enchaîné le

  • 2_Certificat serveur
  • 1_Certificat intermédiaire
  • Certificat racine

dans cet ordre et utilisé le fichier résultant comme ssl_cert dans dovecot. Les deux seuls autres paramètres SSL que j'ai sont ssl=requiredetssl_key = </path

Quelqu'un at-il déjà rencontré ce problème et a trouvé une solution?

ssl Max
la source
Cross-stack superuser.com/questions/1165464/… connexe bien que cette personne n'ait même pas obtenu une erreur utile de Safari.
dave_thompson_085
2
Sensationnel. Vendre de nouveaux certificats que les plus populaires n'accepteront pas est une arnaque.
CodesInChaos
Quel message d'erreur?
Courses de légèreté avec Monica
Voir aussi: Le certificat StartSSL donne SEC_ERROR_REVOKED_CERTIFICATE dans Firefox et ERR_CERT_AUTHORITY_INVALID dans Chrome
Stephen Ostermiller

Réponses:

39

Votre problème est votre CA: StartSSL.

Leurs certificats ne sont rien d'autre qu'un gaspillage d'électrons depuis cette année, car Apple, Google et Mozilla ne leur font plus confiance dès le départ et à coup sûr d'autres suivront.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

Marc Stürmer
la source
10
Donc, quelque chose comme letsencrypt.org serait un meilleur substitut, bien que leurs certificats soient limités à 90 jours.
Criggie
14
@Max Let's Encrypt est peu susceptible de se livrer au type de fraude que nous avons vu sur StartCom / WoSign.
Michael Hampton
15
@DepressedDaniel LE a toutes les indications de fonctionner comme un acteur positif de bonne réputation. StartSSL a été problématique pendant des années avant de se faire prendre, y compris des choses comme la facturation des révocations Heartbleed. Il est tout à fait possible d'attribuer des probabilités .
ceejayoz
5
@ Ángel Old StartSSL, tu veux dire? La fraude a commencé sous WoSign. Les pratiques de merde comme facturer les révocations Heartbleed étaient avant cela, cependant. (Heartbleed a frappé en 2014; WoSign les a secrètement achetés en 2015)
ceejayoz
3
Nous restons un peu en dehors du sujet, mais ... La tarification pour les révocations heartbleed est assez différente: mauvaise en termes de service client mais pas de violation de quoi que ce soit (lorsque vous vous inscrivez, le coût des révocations n'est pas activement caché et heartbleed wasn 't aucune faute de StartSSLs). Le comportement le plus récent qui a entraîné une action des fabricants de navigateurs était une violation (ou plusieurs violations) du modèle de confiance de SSL
David Spillett