CityCat4

Как правило, общеизвестные CA игнорят запросы, которые отличаются от типовых хоть немножечко. Я как-то искал СA, которое выдало бы сертификат subСA - thawte и comodo просто промолчали в ответ :) Им незачем заморачиваться подобной задачей - бизнес и так прет, а это нужно отдельный шаблон под Вас, такого необыкновенного, генерить...
Может рассмотреть вопрос с другой стороны - почему не походит собственный CA и можно ли что-то сделать в этом направлении?

StartSSL больше нет. Его корневые сертификаты отозваны. R.I.P.

Привет от Роском...видимо. Провайдер пытается провести MiTM, чтобы просматривать содержимое защищенных соединений. Нормальная такая практика для корпоративных сетей, но домашние провайдеры обычно таким не балуются.

1 и 2 открылись без проблем. На сайте закупок сказано, что там используется устаревшая технология - наверняка у них SSLv3 не отключен ;)

Нигде. Этого следовало ожидать, собственно говоря - рынок сертификатов толст и огромен. "Чу́дище о́бло, озо́рно, огро́мно, стозе́вно и ла́яй" (С) А. Радищев

LE мне как раз не нравится по той причине, что нечто будет править мои конфиги, которые в общем-то писаны для удобства чтения мной. Есть у меня весьма печальный опыт доверия правки конфигов системе - во FreeBSD такое с /etc/rc.conf этот автоправщик сотворит - потом диву даешься...

ОMG. Вы разве не в курсе, что гугл, яббл и мозилла отозвали корневой сертификат StartSSL? И видимо с последним обновлением это и прилетело - а как только корневой вылетел из доверенных, все сертификаты, выданные им тоже потеряли доверие...

Нет.

Схема проверки доверия очень проста - клиент проверяет издателя сертификата. Если сертификат издателя есть в его базе корневых сертификатов и отмечен, как доверенный (например Mozilla требует отдельной отметки), то он доверяет этому сертификату, если нет - не доверяет.

Самоподписанному будет доверять только после ручного занесения в базу браузера.

Я не доверяю никакой автоматизации. Сертификаты слишком ответственная вещь, чтобы отдавать ее кому-то, тем более каким-то бесплатным серверам с какими-то скриптами. У нас почта шифруется сертификатами, поэтому обновление сертификатов на сотню пользователей - рутинная работа. Календарь, в котором прописана дата истечения срока годности, набор скриптов для генерации сертификатов, список паролей и флэшка, с которой хожу по рабочим местам. CA поднят на винде, это доставляет определенные неудобства, все хочу вынести юзерские сертификаты в подчиненный СА на линухе, где выдача сертификата делается одним скриптом.

Генерить сертификаты на StartSSL больше не имеет смысла - гугл, яббл и мозилла удалили его (или планируют удалить в ближайшее время) из своих списков корневых сертификатов.

Отзыв корневого сертификата StartCom и WoSign

Что только не встретишь в жизни :) Вот до сего момента я не знал, что такое Remix OS :)

По сути.

У Вас нет сертификата. Потому что сертификат - это файл собственно сертификата, файл ключа сертификата и файл сертификата СА, выдавшего Вам сертификат, обьединенные в один архив с расширением .p12 (PKCS#12 - тип архива). Файл .cer - это сторонний сертификат, его можно использовать, например, чтобы зашифровать сообщение для человека, которому он принадлежит. Поэтому, если сертификат выдан общеизвестным СА - Thawte, Comodo, Network Solutions - ищите файл ключа, если же бесплатным или корпоративным СА - перевыпускайте.

Кстати, классический андроид очень нервно относится к сертификатам, выпущенным неизвестными СА - стоит добавить в системную базу корневой сертификат корпоративного СА - андроид начинает вопить "Ааааа! Большой Брат видит тебя!". Поэтому обычно программы, работающие с сертификатами, создают свои базы. И правила установки в них сертификатов у каждого свои :)

Вид валидации на содержимое сертификата не влияет, влияет он только на то, получит он "зеленую плашку" или нет и соответственно на продолжительность и сложность проверки данных, которые Вы передадите им для выпуска сертификата. Для придания большей солидности можно приобрести EV-сертификат. Он, конечно стоит денег - но репутация вообще бесценна.

Приобретать сертификат лучше у известного поставщика - Thawte, Comodo. Если в России - можно приобрести у nic.ru (при этом CА будет все равно Comodo, но дешевле)

Зависимость от типа - не знаю, не встречал, а вот зависимость от поставщика - запросто. Крупные СА - тот же Thawte есть даже в самых ископаемых телефонах, те, что помельче - к ним и доверия меньше и в устройстве может не оказаться.

Обычно советуют Let's Encrypt. Оно конечно можно, если не боитесь доверять установку сторонних скриптов и тому, что то, что сегодня сделали с StartSSL, завтра сделают с ним. Пока большие - Mozilla, Google, Microsoft - не создадут свой бесплатный СА - я не вижу альтернативы.

Гугл первый продвигает передовые технологии шифрования и хром первый начинает орать при использовании устаревших протоколов. Так что я думаю учитывает и даже ранжирует по тому, каким СА сертификат выдан.

Сертификат может получить как физик, так и юрик, но физик может получить только самый простой сертификат с упрощенной проверкой. Он конечно стоит недорого, но никаких EV и зеленых полосок там не будет.

Нужно не в сертификационный центр загрузить - а загрузить и установить в качестве доверенного корневого сертификата сертификат СА, выдавшего Вам сертификат. Корневой сертификат скачивается обычно с сайта СА. Если есть промежуточные сертификаты СА, то их нужно установить тоже. FF использует свою базу сертификатов, ишак и хром - системную, опера - тоже свою.

Возможно такая ошибка возникает оттого, что сертификат выдан малоизвестным CА

Уже имеющийся сертификат? Или вопрос следует понимать так "где мне взять сертификат чтобы его настроить?" Или даже так - "что такое сертификат, где мне его взять и как настроить?"

Грамотно поставленный вопрос содержит половину ответа...

Хм. А кем выдан сертификат, который пытаетесь отпарсить и есть ли СА, его выдавший в списках корневых СА на том компе, где парсится?

ну и вот может помочь

Неверно. Проводят. Хром уже начинает анонить. Иметь sha1 в корневом CA сейчас уже нежелательно.