Мій сертифікат, виданий StartSSL, не приймається моїми клієнтами

Сьогодні я попросив новий сертифікат сервера класу 1 від StartSSL, і він чудово працює з Apache та Dovecot + (Thunderbird / Outlook / OpenXChange), але коли я намагаюся підключитися до поштового сервера за допомогою клієнта Apple (Mac / iPhone), Я отримую повідомлення про помилку SSL.

Я прикував це

2_ Сертифікат сервера
1_Проміжний сертифікат
Кореневий сертифікат

в цьому порядку і використовував отриманий файл як ssl_cert в dovecot. Єдині два мої налаштування SSL є ssl=requiredіssl_key = </path

Хтось мав це питання раніше і придумав рішення?

ssl

— Макс
джерело

Пов’язаний перехресний стек superuser.com/questions/1165464/…, хоча ця людина навіть не отримала корисної помилки від Safari.

— dave_thompson_085

Ого. Продаж нових сертифікатів, які найпопулярніші не приймуть, є досить шахрайським.

— CodesInChaos

Яке повідомлення про помилку?

— Гонки легкості з Монікою

Дивіться також: Сертифікат StartSSL дає SEC_ERROR_REVOKED_CERTIFICATE у Firefox та ERR_CERT_AUTHORITY_INVALID у Chrome

— Стівен Остерміллер

Ваша проблема - ваш CA: StartSSL.

Їх сертифікати - це не що інше, як марно витрачання електронів з цього року, тому що Apple, Google і Mozilla більше не вірять їм поза межами коробки, і впевнені, що інші будуть слідувати.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificate/

— Марк Стурмер
джерело

Тож щось на зразок letsencrypt.org було б кращою заміною, незважаючи на те, що їх кількість обмежена 90 днями.

— Criggie

@Max Let's Encrypt навряд чи буде брати участь у шахрайстві, яке ми бачили в StartCom / WoSign.

— Майкл Хемптон

@DepressDaniel LE має всі ознаки того, що він працює як авторитетний, позитивний актор. StartSSL був проблематичним протягом багатьох років, перш ніж потрапляти в спіймання, включаючи такі речі, як зарядка за скасування Heartbleed. Визначити ймовірності цілком можливо .

— ceejayoz

@ Анхель Старий StartSSL, ти маєш на увазі? Шахрайство розпочалося під WoSign. Хоч такі жахливі практики, як стягнення плати за відкликання Heartbleed, були раніше. (Хіт із сердечками у 2014 році; WoSign таємно купив їх у 2015 році)

— ceejayoz

Ми трохи зупиняємось на темі, але ... Плата за відкликання без сердець зовсім інша: погана з точки зору обслуговування клієнтів, але не порушення будь-якого (коли ви підписуєте вартість відкликань, не приховується активно не має жодної помилки StartSSL). Більш свіжою поведінкою, яка спричинила дії розробників браузерів, було порушення (або кілька разів) довірчої моделі SSL

— Девід Спіллетт