Frage Mein von StartSSL ausgestelltes Zertifikat wird von meinen Kunden nicht akzeptiert


Ich habe heute ein neues Serverzertifikat der Klasse 1 von StartSSL angefordert und es funktioniert großartig mit Apache und Dovecot + (Thunderbird / Outlook / OpenXChange), aber wenn ich versuche, eine Verbindung zum Mailserver mit einem Apple Client (Mac / iPhone) herzustellen, Ich erhalte eine SSL-Fehlermeldung.

Ich habe die. Angekettet

  • 2_Server Zertifikat
  • 1_ Zwischenzertifikat
  • Stammzertifikat

in dieser Reihenfolge und verwendete die resultierende Datei als ssl_cert in dovecot. Die einzigen anderen zwei SSL-Einstellungen, die ich habe, sind ssl=required und ssl_key = </path

Hat jemand dieses Problem schon einmal gehabt und eine Lösung gefunden?


19
2018-01-29 18:58


Ursprung


Verwandter Kreuzstapel superuser.com/questions/1165464/ ... obwohl diese Person nicht einmal einen nützlichen Fehler von Safari erhalten hat. - dave_thompson_085
Beeindruckend. Es ist ziemlich betrügerisch, neue Zertifikate zu verkaufen, die am beliebtesten sind. - CodesInChaos
Was Fehlermeldung? - Lightness Races in Orbit
Siehe auch: Das StartSSL-Zertifikat enthält SEC_ERROR_REVOKED_CERTIFICATE in Firefox und ERR_CERT_AUTHORITY_INVALID in Chrome - Stephen Ostermiller


Antworten:


Ihr Problem ist Ihre CA: StartSSL.

Ihre Zertifikate sind seit diesem Jahr nichts als eine Verschwendung von Elektronen, weil Apple, Google und Mozilla ihnen nicht mehr aus der Box vertrauen und sicher andere folgen werden.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/


39
2018-01-29 19:32



So etwas wie letsencrypt.org  wäre ein besserer Ersatz, obwohl ihre Zeugnisse auf 90 Tage begrenzt sind. - Criggie
@Max Let's Encrypt ist sehr wahrscheinlich nicht in der Art von Betrug involviert, den wir in StartCom / WoSign gesehen haben. - Michael Hampton♦
@DepressedDaniel LE hat alle Anzeichen, als seriöser, positiver Akteur zu agieren. StartSSL war jahrelang problematisch, bevor man erwischt wurde, inklusive Sachen wie das Hochladen von Heartbleed-Widerrufen. Es ist durchaus möglich, zuzuweisen Wahrscheinlichkeiten. - ceejayoz
@ Ángel Old StartSSL, meinst du? Betrug begann unter WoSign. Shitty-Praktiken wie das Aufladen für die Heartbleed-Widerrufe waren davor jedoch. (Heartbleed Hit 2014; WoSign kaufte sie 2015 heimlich) - ceejayoz
Wir bleiben ein bisschen abseits, aber ... Die Gebühren für Heartbleed-Widerrufungen sind ganz anders: schlecht in Bezug auf die Kundenbetreuung, aber keine Verletzung von irgendetwas (wenn Sie die Kosten von Widerrufen anmelden, wird nicht aktiv versteckt und Heartbleed wurde nicht Kein Fehler von StartSSLs). Das neuere Verhalten, das zu einer Aktion der Browserhersteller führte, war eine Verletzung (oder mehrere Verstöße) des Vertrauensmodells von SSL - David Spillett