Проблеми з сертифікатом GoDaddy SSL з Safari

11

Ми щойно отримали новий сертифікат SSL від GoDaddy. І хоча всі веб-переглядачі добре відповідають сертифікату, Safari видає таку помилку:

Цей сертифікат був підписаний невідомим органом влади.

Ми використовуємо файл ланцюга в наступному конфігурації в Apache:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/godaddy.crt
SSLCertificateKeyFile /etc/apache2/ssl/godaddy.key
SSLCertificateChainFile /etc/apache2/ssl/gd_bundle2.crt

Оглядаючись в Інтернеті, схоже, що і інші відчули цю проблему ( http://blog.boxedice.com/2009/05/11/godaddy-ssl-certificate-and-cannot-verify-identity-on-macsafari/ ) Але, здається, жодне рішення не виправить проблему.

Хтось знає, чому це було б спричинено, чи є досвід з цим явищем, і як це виправити?

— Зед Саїд
джерело

8

Перевірте, чи правильні проміжні сертифікати видаються сервером за адресою http://www.sslshopper.com/ssl-checker.html

Як запропонував Мартона, можливо, вам доведеться використовувати інший пакет.

— Роберт
джерело

Спробував перевірку ssl, і все, здається, добре ...

— Зед сказав

Яку версію Safari та Mac OS X у вас є? Можливо, оновлення допоможе? Перевірте, чи є у вас останній сертифікат, виданий сервером у SSL-шашку у вашому брелоку MAC OS X.

— Роберт

+1 - це зручний інструмент.

— Клінтон Блекмор

2

Можливо, ви використовуєте неправильний ланцюг cert. Я припускаю, що ваш "gd_bundle2.crt" такий же, як "gd_bundle.crt" на цій сторінці: https://certs.godaddy.com/anonymous/repository.seam

Цей ланцюжок gd_bundle.crt має "Сертифікаційний орган Go Daddy Class 2", який перевіряє до кореня Valicert. Я не думаю, що це вже справедливо - GoDaddy, здається, видає сертифікати, які підписуються "Go Daddy Secure Certification Authority", який, в свою чергу, підписується іншим, самопідписаним "Go Daddy Class 2 Certification Authority" - не Valicert -своюється у вашому ланцюжку, тому це не має нічого спільного з вашим фактичним сертифікатом.

Перейдіть на сторінку, на яку посилалося вище, скачайте "gd-class2-root.crt", потім завантажте "gd_intermediate.crt". Об’єднайте два файли (вони просто текстові файли) у "mybundle.crt" та вкажіть цей новий файл у SSLCertificateChainFile. Подивіться, чи це має значення.

— Мартона
джерело

@Zed Саїд, це працювало для вас?

— Стефан Ласєвський

Я просто спробував це, і це спрацювало на мене ... дякую!

— Бред Паркс

1

Чомусь Safari не може бути в курсі останніх надійних кореневих сертифікаційних органів. Ви можете зв’язатися із службою обслуговування клієнтів і попросити їх повторно видати вам сертифікат з іншим довіреним кореневим сертифікатом.

— Rhett
джерело

1

Я зіткнувся з цією проблемою, коли додав сертифікат SSL StarField (wildcard) в Apache на HPUX, коли використовував sf_bundle.crt як мій ланцюжок ланцюгів. Я замінив його на більш загальний sf_intermediate.crt (з https://certs.starfieldtech.com/anonymous/repository.seam ) як SSLCertificateChainFile, який вирішив для мене питання Safari "невідомого авторитету".

0

Не зовсім вирішення актуальної проблеми, але саме такі химерності змушують мене завжди купувати свої SSL-серти у Thawte.

— Брайан Де Смет
джерело