Il mio certificato sembra soddisfacente ma il TLS fallisce (certificato non convalidato)

1

Ho impostato il mio certificato per il mio server di posta al link Ho esportato il mio certificato come descritto nella documentazione dei miei server di posta elettronica e lo ho indicato nelle impostazioni del server.

Il certificato sembra convalidare il 100% su tutti i test, anche l'emittente ha verificato che tutto va bene. Tuttavia i miei client di posta come Outlook e Thunderbird sembrano fallire con avvisi di certificati non validi.

Puoi vedere che non funziona a link se usi l'indirizzo email [email protected]

    [001.838]       
Certificate 1 of 3 in chain:
subject= /OU=Domain Control Validated/OU=PositiveSSL/CN=mail.xxxx.com
issuer= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA                                                                                                                                                                                
[001.886]       
Certificate 2 of 3 in chain:
subject= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
issuer= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority                                                                                                                                                                                  
[001.933]       
Certificate 3 of 3 in chain:
subject= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
issuer= /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority          Validation Secure Server CA                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            
    [003.400]       Cert NOT VALIDATED: unable to get local issuer certificate
    [003.401]       this may help: What Is An Intermediate Certificate
    [003.401]       So email is encrypted but the domain is not verified
    [005.791]       Cert Hostname VERIFIED (mail.xxxx.com = mail.xxxx.com)

Modifica: la catena si sposta sul secondo certificato, ma poi si ripete, e se guardo la catena in qualsiasi altro punto si connette bene.

Spero che qualcuno possa far luce su quale sia il problema.

Grazie mille

    
posta Fuzz 08.07.2014 - 15:12
fonte

2 risposte

3

Il cliente sta cercando il server per fornire copie dei certificati intermedi e sembra che il server non stia facendo così. La configurazione esatta varia in base al server, ma dovrebbe essere possibile scaricare i certificati intermedi (dalla CA) e condividerli insieme al certificato del server per ottenere un certificato attendibile dal cliente.

Fondamentalmente, il client non vuole dover (o non può) cercare certificati intermedi su Internet. Pertanto, è necessario fornire loro in modo che ogni fase della catena possa essere convalidata. Alcuni clienti usciranno e li troveranno o potrebbero già includere molti certificati intermedi comuni, altri no.

    
risposta data 08.07.2014 - 15:22
fonte
2

Sembra che la catena non sia corretta. Sembra che ci siano tre certificati ma tutti sono uguali. Sembra che manchi almeno il certificato di Comodo Intermediate:

CN=COMODO RSA Certification Authority.
    
risposta data 08.07.2014 - 15:23
fonte

Leggi altre domande sui tag