Я купил несколько (дешевых) сертификатов HTTPS от StartSSL. Они отлично работают во всех протестированных мной браузерах. В соответствии с эта почта они даже распознаются в IE 7 и 8, что для меня достаточно.
Однако один пользователь пожаловался, что его RSS-клиент / агрегатор WordPress перестал работать. На его веб-сайте установлена последняя версия Wordpress и простой пирог, но не распознает ЦС StartCom:
WP HTTP Error: SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Я предполагаю, что его сайт wordpress работает на каком-то Linux-сервере общего хостинга. Итак, теперь мне любопытно, какие версии Debian, Ubuntu, RHEL, Fedora, FreeBSD и т.д. включают корневой сертификат StartCom?
Основная проблема, похоже, заключается в том, что вы предоставляете на www.opencpu.org правильный сертификат для клиента, который поддерживает SNI (указание имени сервера), например которые отправляют ожидаемое имя сервера в подтверждении SSL. Но для клиентов, которые не используют SNI, вы отправляете сертификат для dev1.opencpu.org, который не соответствует имени и не подписан доверенным ЦС, но самозаверяющий. Но хотя текущий браузер поддерживает SNI, некоторые библиотеки скриптов этого не делают.
Поскольку вы предоставляете подстановочный сертификат для * .opencpu.org для клиентов, использующих SNI, я бы рекомендовал просто удалить сертификат dev1.opencpu.org, потому что это имя хоста совпадает также с сертификатом * .opencpu.org.
Еще сложнее заставить работать demo.ocpu.io. Это имя преобразуется в тот же IP-адрес, что и opencpu.org, и поэтому клиенты, которые не поддерживают SNI, получают самоподписанный сертификат для dev1.opencpu.org с теми же проблемами, например несоответствие имен и ненадежный ЦС. Если вам нужно поддерживать это имя хоста для клиента, не поддерживающего SNI, вы должны использовать другой IP-адрес.
Эта ошибка может произойти, если вы еще не добавили промежуточный сертификат CA StartSSL в свою установку. Увидеть StartSSL FAQ об этом, или добавить (или добавить, я всегда забываю какой) промежуточный сертификат к сертификату вашего сервера в файле сертификата.