我从StartSSL购买了一些(便宜的)HTTPS证书。 他们在我testing的所有浏览器上工作的很好。 根据这个职位,他们甚至在IE 7和8认可,这对我来说足够了。
但是,有一位用户抱怨说,他的WordPress RSS客户端/聚合器停止工作。 他的网站运行最新版本的Wordpress和simplepie ,但它不能识别StartCom CA:
WP HTTP Error: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 我假设他的WordPress的网站运行在一些共享主机服务的Linux机器上。 所以现在我很好奇,哪个版本的Debian,Ubuntu,RHEL,Fedora,FreeBSD等包含了StartCom根证书?
主要的问题似乎是,您在www.opencpu.org上提供了支持SNI(服务器名称指示)的客户端的正确证书,例如,在SSL握手中发送期望的服务器名称。 但是,对于不使用SNI的客户端,请发送dev1.opencpu.org的证书,该证书既不与名称匹配,也不由受信任的CA签名,但是是自签名的。 但目前的浏览器都支持SNI,一些脚本库不支持。
因为您为使用SNI的客户端提供了* .opencpu.org的通配符证书,所以我build议删除dev1.opencpu.org证书,因为这个主机名也与证书* .opencpu.org匹配。
也使demo.ocpu.io工作更难。 此名称parsing为与opencpu.org相同的IP,因此不支持SNI的客户端将获得dev1.opencpu.org的自签名证书,并出现相同的问题,例如名称不匹配和不可信CA. 如果您需要为不支持SNI的客户端支持此主机名,则必须使用不同的IP地址。
如果您尚未将StartSSL中级CA证书添加到您的安装,则可能会发生此错误。 请参阅StartSSL FAQ ,或在证书文件中预先(或追加,我总是忘记哪个)中间证书到您的服务器证书。