Migrei meus sites e certificados SSL de Apache para Nginx e a partir desse momento todos os clientes Windows XP não reconhecem o certificado SSL (é um certificado curinga emitido pela Trustico).
A configuração antiga nos servidores Apache anteriores era esta:
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/*_mysite.com.crt
SSLCertificateKeyFile /etc/apache2/ssl/*_mysite.com.key
SSLCertificateChainFile /etc/apache2/ssl/*_mysite.com.ca-bundle
E a nova configuração nos servidores Nginx é esta:
ssl on;
ssl_certificate /etc/nginx/ssl/*_mysite.com.crt
ssl_certificate_key /etc/nginx/ssl/*_mysite.com.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP;
ssl_prefer_server_ciphers on;
O Nginx não suporta o parâmetro SSLCertificateChainFile, então li que preciso anexar o arquivo *_mysite.com.ca-bundle abaixo do arquivo *_mysite.com.crt.
Depois disso, outros sistemas operacionais além do Windows XP estão funcionando bem, mas o Windows XP ainda está reconhecendo um certificado errado (ele retorna a mensagem "erro de certificado").
Eu não consigo resolver esse problema, você poderia me ajudar por favor?
Neste caso, sua configuração requer Server Name Indication (SNI) e em algum lugar você configurou outro certificado para clientes que não podem fazer SNI, como MSIE8 no XP.
O problema é que o IE8 e anteriores no Windows XP não suportam SNI. Se você precisa oferecer suporte a usuários no Win XP/IE 8, cada site precisa de seu próprio endereço IP dedicado e certificado SSL correspondente.