Hemos recibido un certificado EV. La clave privada que usamos en la CSR es una clave EC basada en prime256v1. Se generó usando el siguiente comando:
openssl ecparam -genkey -name prime256v1 -out foobar.com.key
openssl req -new -key foobar.com.key -out foobar.com.csr -subj /C=DE/ST=Foo/L=Bar/O=Fobbar Co/CN=foobar.com
Ahora se emitió el certificado y reemplazamos el certificado de trabajo Let's Encrypt. No funcionó pero mostró el siguiente mensaje de error:
140659019327128:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:769:
El servidor es Ubuntu Xenial. Probamos todo tipo de cifrados de servidor, protocolos, cifrado del servidor preferido o no, incluso todos los cifrados disponibles no funcionaron.
Los clientes de los testículos fueron Chrome, Firefox, curl y openssl s_client en Ubuntu Xenial.
La segunda prueba se realizó con una instalación nueva de nginx sin ningún cambio en los valores predeterminados de Ubuntu y sin retoques con cifrados o protocolos. Todavía no hay suerte.
Cambiar la clave + cert a un certificado estándar de Let's Encrypt funciona todo el tiempo.
¿Cuál es el problema?