Mein von StartSSL ausgestelltes Zertifikat wird von meinen Kunden nicht akzeptiert

Ich habe heute ein neues Klasse-1-Serverzertifikat von StartSSL angefordert und es funktioniert hervorragend mit Apache und Dovecot + (Thunderbird / Outlook / OpenXChange), aber wenn ich versuche, über einen Apple-Client (Mac / iPhone) eine Verbindung zum Mailserver herzustellen, Ich erhalte eine SSL-Fehlermeldung.

Ich habe die angekettet

2_Server-Zertifikat
1_Zwischenzeugnis
Stammzertifikat

in dieser Reihenfolge und verwendet die resultierende Datei als ssl_cert in Dovecot. Die einzigen anderen zwei SSL-Einstellungen, die ich habe, sind ssl=requiredundssl_key = </path

Hat jemand dieses Problem schon einmal gehabt und eine Lösung gefunden?

ssl

— Max
quelle

Verwandte Cross-Stack-Funktionen superuser.com/questions/1165464/… obwohl diese Person nicht einmal einen nützlichen Fehler von Safari erhalten hat.

— Dave_thompson_085

Wow. Der Verkauf neuer Zertifikate, die am häufigsten nicht akzeptiert werden, ist ziemlich betrügerisch.

— CodesInChaos

Welche Fehlermeldung?

— Leichtigkeit Rennen mit Monica

Siehe auch: StartSSL Zertifikat SEC_ERROR_REVOKED_CERTIFICATE in Firefox und ERR_CERT_AUTHORITY_INVALID in Chrome gibt

— Stephen Ostermiller

Ihr Problem ist Ihre CA: StartSSL.

Ihre Zertifikate sind seit diesem Jahr nichts anderes als eine Verschwendung von Elektronen, da Apple, Google und Mozilla ihnen nicht mehr ohne weiteres vertrauen und mit Sicherheit weitere folgen werden.

https://linustechtips.com/main/topic/688200-apple-google-and-mozilla-disavow-wosign-and-startcom-certificates/

— Marc Stürmer
quelle

So etwas wie letsencrypt.org wäre ein besserer Ersatz, obwohl ihre Zertifikate auf 90 Tage begrenzt sind.

— Criggie

Es ist ziemlich unwahrscheinlich, dass @Max Let's Encrypt in die Art von Betrug verwickelt wird, die wir in StartCom / WoSign gesehen haben.

— Michael Hampton

@DepressedDaniel LE hat alle Anzeichen dafür, dass es sich um einen seriösen, positiven Schauspieler handelt. StartSSL war jahrelang problematisch, bevor es erwischt wurde, einschließlich Sachen wie das Aufladen von Heartbleed-Widerrufen. Es ist durchaus möglich, Wahrscheinlichkeiten zuzuweisen .

— Ceejayoz

@ Ángel Old StartSSL, meinst du? Betrug begann unter WoSign. Davor gab es allerdings beschissene Praktiken wie das Aufladen der Heartbleed-Widerrufe. (Heartbleed Hit im Jahr 2014; WoSign hat sie im Jahr 2015 heimlich gekauft)

— ceejayoz

Wir bleiben ein bisschen abseits des Themas, aber ... Die Gebühren für Heartbleed-Widerrufe sind ganz anders: schlecht in Bezug auf die Kundenbetreuung, aber keine Verletzung von irgendetwas (wenn Sie sich anmelden, werden die Kosten für Widerrufe nicht aktiv verborgen und Heartbleed warn 't irgendein Fehler von StartSSLs). Das neuere Verhalten, das zu Aktionen der Browserhersteller führte, war ein Verstoß (oder mehrere Verstöße) gegen das Vertrauensmodell von SSL

— David Spillett,