Gigaone

To może sprecyzuj z którymi przeglądarkami masz problem i może ktoś udzieli odpowiedzi. Co na to wystawca certyfikatu?

To, że coś nie zadziała poprawnie ("Rapid z androidem"), to w 99% niedokonczona konfiguracja serwera. Klienci lub sami administratorzy zapominają o np. zainstalowaniu certyfikatu pośredniego, który jest wymagany do poprawnego działania certyfikatu. I nie dotyczy to tylko wspomnianego certyfikatu RapidSSL, ale wszystkich innych wystawców. Jeżeli chcesz przetestować ten certyfikat, to zapraszam do nas na stronę demonstracyjną certyfikatu RapidSSL.

Z pewnością po http wczytuje Ci się zdalna czcionka, a po https przeglądarka blokuje dostęp do zasobu. Przeglądarka do wyświetlenia strony używa kolejnej czcionki zdefiniowanej w stylach (font-family), stąd inny wygląd. Zamień w źródle strony odwołania do czcionki z http:// na https://. Więcej informacji tutaj.

Chyba najprościej przez przeglądarkę. Klikasz w ikonę kłódki lub w przypadku certyfikatów EV nazwę firmy masz podaną w pasku adresu. Jak to za mało, to zawsze można skorzystać z SSLLabs a jak i to Ci nie wystarczy, to zobacz projekt Certificate Transparency

Mailgun

CSR generujesz np. tak, jak tutaj: https://www.gigaone.pl/wsparcie-techniczne/generowanie-csr/apache/ Wybierasz jedną z dostępnych metod weryfikacji, czyli weryfikacja via e-mail wystarczy. Najważniejsze, to nazwa hosta podana w CSR. Jeżeli się pomylisz, to prawie zawsze można unieważnić poprzedni certyfikat i wystawić nowy. Przy weryfikacji domeny e-mailem zawsze można wybrać maila w domenie głównej (np. admin@moja-domena.pl), nawet gdy kupujesz certyfikat dla subdomeny. Powyższe wskazówki odnoszą się do certyfikatów RapidSSL, GeoTrust i Thawte. U innych wystawców powinno być podobnie.

postfix/smtpd[28193]: SSL_accept error from example.com [2001:41d0:8:17b6::]: 0 postfix/smtpd[28193]: warning: TLS library problem: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1300:SSL alert number 48: postfix/smtpd[28193]: lost connection after STARTTLS from tev.pl[2001:41d0:8:17b6::] Cetryfikat mam -self-signed wygenerowany poprzez openssl - ale watpie ze to jest problem. PHP od wersji 5.6 (Debian 8 zawiera PHP 5.6) domyślnie weryfikuje certyfikaty SSL (https://php.net/manual/en/context.ssl.php#context.ssl.verify-peer i http://php.net/manual/en/migration56.openssl.php) a komunikat błędu alert unknown ca to tylko potwierdza.

smtp_tls_security_level = may

Też, ponieważ ten certyfikat root jest zaszyty w przeglądarkach i nie ma sensu go przepychać przez sieć.

Teraz trochę przedobrzyłeś. Tak jak Tobie pisał blfr nie ma potrzeby serwowania certyfikatów root. Wszystkie trzy certyfikaty z dołączonego screenshota usuń z serwera.

Do weryfikacji lepiej używać serwisu SSLLabs https://www.ssllabs.com/ssltest/analyze.html?d=pozyczka-bez-zaswiadczen.pl Próbowałeś do pola z certyfikatem serwera wkleić na końcu certyfikat pośredni? (pole z kluczem prywatnym zostawiasz w spokoju)

Wg https://www.ssllabs.com/ssltest/analyze.html?d=pozyczka-bez-zaswiadczen.pl nie jest ok, brakuje certyfikatu pośredniego.

Podaj adres strony.

Zapraszam do nas do potestowania na żywo : https://rapidssl-wildcard.gigaone.pl/

No tak, moja pomyłka . Wydawało mi się, że Debian 6 miał wsparcie do początku tego roku, nie następnego.

Musiałbyś przekomplilować jeszcze samego Apache'a wraz z OpenSSL-em. Ale chyba, wbrew pozorom, najprostszym rozwiązaniem na podniesienie wersji będzie upgrade do aktualnie stabilnego Debiana. Utrzymywanie dystrybucji wystawionej do internetu z zakończonym wsparciem to raczej nie jest dobry pomysł...

Chyba uciekła Ci jedynka z przodu ceny . Takie przypadki zabawy URL-ami w przeglądarce, to raczej można zignorować na tę chwilę. Gdy w przyszłości z przeglądarek wyleci HTTP 1.1 i zostanie tylko HTTP/2, to wtedy oczywiście nie będzie wyjścia. Ale jeżeli jest to dla Ciebie ważne teraz, to np. w GeoTrust, gdy zamówisz certyfikat dla nazwy hosta z prefiksem www., to wystawiony certyfikat otrzyma w polu SAN dodatkowy rekord dla hosta bez www., czyli dla nazwy domeny. Wpis taki będzie dodany przez wystawcę bezpłatnie. Warunek: domena musi być drugiego poziomu (wyjątkiem są tylko brytyjskie domeny .co.uk).

Problem jest po drugiej stronie, a jest to powiązane z ostatnim czerwcowym update'em OpenSSL-a: https://mta.openssl.org/pipermail/openssl-announce/2015-June/000032.html

Nie spotkałem się z takim określeniem u żadnego liczącego się wystawcy, stąd moje zdziwienie.

Pytasz chyba o certyfikaty OV (Organization Validation)? Nie ma BV. Tak, w OV będą zawarte dane podmiotu.

Możliwe, że w pliku /usr/local/etc/nginx/ssl/ssl-bundle.crt masz tylko certyfikat serwera, bez certyfikatu pośredniego wystawcy, stąd (słuszny) komunikat w przeglądarce. Druga możliwość, to masz jakiś certyfikat pośredni, ale do szczęścia brakuje kolejnego lub kolejnych certyfikatów pośrednich, aby certyfikat SSL był w pełni rozpoznawalny przez przeglądarkę (dość częsty przypadek u "egzotycznych" i najtańszych wystawców certyfikatów...).

Wg tego komunikatu Twój klucz prywatny nie pasuje do wystawionego certyfikatu.

Właśnie Symantec oficjalnie zapowiedział, że od 9. marca 2015 r. wszystkie nowe certyfikaty SSL DV i OV będą wystawiane na maksymalny okres 36 miesięcy. Zmiana dotyczy wszystkich brandów Symanteca, czyli Symantec, Thawte, GeoTrust i RapidSSL.

W takim przypadku dokonuje się wymiany certyfikatu na nowy. Chyba u wszystkich wystawców jest to operacja bezpłatna. Z pewnością tak jest w Symantecu, GeoTrust i w Thawte.

Komunikaty wskazują raczej na brak wsparcia dla TLS 1.0 i wyższych na serwerze. Włączenie na stałe protokołu SSLv3 w Firefoksie to raczej nie jest dobry pomysł...