Ошибка SSL протокола CloudFlare - на XP и в старых мобильных

[Stesh]

Насколько я помню, добавлять в сертификат можно было только поддомены..

И домены тоже. Просто потом подтверждать каждый домен отдельно.

На сколько мне известно CloudFlare выдает мультисерсификат, на доменное имя и на свои сервера

CF на бесплатном тарифе использует расширение SNI - пачка сертификатов на одном ip, плюс сами по себе сертификаты SAN. Поэтому все что не держит SNI - будет ругаться.

И тут скорее больше проблема не сертификата, а настройки сервера.

Тут как две проблемы и обе связаны с CF. Первое - старое не везде поддерживает SNI. Второе (то что происходит у ТС) - CF выкусил небезопасные алгоритмы шифрования, а софт новые алгоритмы не держит. Предположительно у ТС Windows XP.

И еще момент, господа. Обратите внимание, что у ТС CF работает в режиме flexible. Т.е. бекенд работает в http без всяких сертификатов ( HTTPS -> Cloudflare -> HTTP), CF выступает проксей.

 

[Stesh]

На стартссл на домен и один поддомен выдают сертификаты. На WoSignножно было до 20 доменов на 3 года.

Можно было. Для просмотра ссылки Войди или Зарегистрируйся

 

[mrLom]

Лучше один сертификат мультидоменный. Тогда в старых браузерах без поддержки Server Name Identification (SNI) проблем с доступом к сайту не будет.

Когда все домены принадлежат разным пользователям и разным клиентам — безопасность сразу же будет под великим сомнением.
Подобный сертификат полезен для каких-нибудь почтовых серверов, где физически невозможно применить отдельный на все используемые почтовые домены.

Можно было. Для просмотра ссылки Войди или Зарегистрируйся

Ага, и можно было.

 

[Stesh]

Когда все домены принадлежат разным пользователям и разным клиентам — безопасность сразу же будет под великим сомнением.

Если разные пользователи делят один ip и один vds, то вопрос о этике использования SAN уже не стоит, имхо.

Подобный сертификат полезен для каких-нибудь почтовых серверов, где физически невозможно применить отдельный на все используемые почтовые домены.

А можно реальный кейс? А то я по старинке цепляю сертификат на основное доменное имя у конкретного ip = PRT = hosntame со стопкой почтовых доменов. Ни разу не приходилось ставить SAN конкретно для почтовика. (да и почтовики давно уже умеют SNI, они в отличие от клиентских осей и мобильников, чаще обновляются, как серверные решения, так и клиентский софт)

 

[wpt]

Название темы все же: Ошибка SSL протокола CloudFlare - на XP и в старых мобильных — и решение — понизить уровень безопасности сервера.

У вас же несколько другие исходные данные

В nginx необходимо вручную перепрописать конфигурации к сертификатам.
На сколько я помню, в конфигах ssl доменов есть ссылки на конфигурацию ssl.conf сертификата. По умолчанию, один и тот же конфиг применяется во всех доменах. Самоподписной.
Необходимо раскопировать под каждый домен данный конфиг и прописать там сертификаты, подписи, промежуточные подписи для каждого отдельно взятого вашего домена.

К CloudFlare вопрос отношения не имеет. У меня ошибка сертификатов на мобильном и в старых браузерах..
Установлено вэб окружение битрекса.
Конфигурации в nginx прописаны, для каждого сайта свои конфигурации и сертификаты, дефолтный битрексовский ssl не используется.
Повторюсь, в большинстве браузеров все ок.
Ошибки с сертификатом при просмотре с моего телефона:

 

[mrLom]

А можно реальный кейс? А то я по старинке цепляю сертификат на основное доменное имя у конкретного ip = PRT = hosntame со стопкой почтовых доменов. Ни разу не приходилось ставить SAN конкретно для почтовика. (да и почтовики давно уже умеют SNI, они в отличие от клиентских осей и мобильников, чаще обновляются, как серверные решения, так и клиентский софт)

Запросто.
Возмем за основу почтовый сервер KerioConnect. Организация имеет дружественные дочерние почтовые домены. Минус Kerio в том, что к нему можно применить только единственный действующий сертификат.
Отдельно взятые пользователи должны заходить через вер-интерфейс на mail.domain1.ru mail.domain2.ru mail.domain3.ru
Вот вам и пример использования мультидоменов

Конфигурации в nginx прописаны, для каждого сайта свои конфигурации и сертификаты, дефолтный битрексовский ssl не используется.

Ошибки с сертификатом при просмотре с моего телефона:

Какая модель вашего телефона? Можно ли получить обновления браузеров в вашем телефоне?
Если у вас жгучее желание использовать ваш телефон, в вашем случае необходимо поискать какие методы шифрования поддерживает ваш аппарат.
и смотреть в строну конфигурации А+
Для просмотра ссылки Войди или Зарегистрируйся