so, ich glaube, ich habe den Fehler gefunden:
Zitat aus Apples Knowledgebase zum Thema Zertifikate:
https://support.apple.com/de-de/HT210176
Anforderungen an vertrauenswürdige Zertifikate in iOS 13 und macOS 10.15
Hier erhalten Sie Informationen zu den neuen Sicherheitsanforderungen an TLS-Serverzertifikate in iOS 13 und macOS 10.15.
Alle TLS-Serverzertifikate müssen in iOS 13 und macOS 10.15 die folgenden neuen Sicherheitsanforderungen erfüllen:
TLS-Serverzertifikate und ausstellende Zertifizierungsstellen, die RSA-Schlüssel verwenden, müssen Schlüsselgrößen größer oder gleich 2048 Bit verwenden. Zertifikate mit RSA-Schlüsselgrößen kleiner als 2048 Bit werden für TLS nicht mehr als vertrauenswürdig angesehen.
TLS-Serverzertifikate und ausstellende Zertifizierungsstellen müssen im Signaturalgorithmus einen Hash-Algorithmus aus der SHA-2-Familie verwenden. SHA-1-signierte Zertifikate sind für TLS nicht mehr vertrauenswürdig.
TLS-Serverzertifikate müssen den DNS-Namen des Servers in der SAN-Erweiterung (Subject Alternative Name) des Zertifikats angeben. DNS-Namen im CommonName eines Zertifikats sind nicht mehr vertrauenswürdig.
Darüber hinaus müssen alle nach dem 1. Juli 2019 ausgestellten TLS-Serverzertifikate (wie im NotBefore-Feld des Zertifikats angegeben) den folgenden Richtlinien entsprechen:
TLS-Serverzertifikate müssen eine ExtendedKeyUsage (EKU)-Erweiterung enthalten, die die "id-kp-serverAuth OID" enthält.
TLS-Serverzertifikate müssen eine Gültigkeitsdauer von 825 Tagen oder weniger haben (wie in den Feldern "NotBefore" und "NotAfter" des Zertifikats angegeben).
Verbindungen zu TLS-Servern, die gegen diese neuen Anforderungen verstoßen, schlagen fehl und können Netzwerkausfälle und das Fehlschlagen von Apps verursachen. Außerdem ist es möglich, dass Websites in Safari in iOS 13 und macOS 10.15 nicht geladen werden.
Die letzte Neuerung ist, dass Zertifikate mit Ausstellungsdatum nach dem 1.7.2019 (trifft bei dir zu) nicht mehr länger als 825 Tage gültig sein dürfen. Die von Elabnet für die Wölfe ausgestellten Zertifikate sind jedoch 20 Jahre lang gültig und entsprechend somit nicht diesen Anforderungen und werden als nicht Vertrauenswürdig eingestuft, selbst wenn der CA (für die diese Beschränkung nicht gilt) vertraut wird.
Dementsprechend spiele ich den Ball hier mal an
@StefanW rüber, da du daran nichts ändern kannst.
Diese Entscheidung ist übrigens vom CAB Browserforum als verbindliche Richtlinie bereits vor 2 Jahren entschieden worden, und auch davor waren es 39 Monate ab 2015 und 60 Monate seit 2011. Es ist also nur eine Frage der Zeit, bis andere Browser ebenfalls nachziehen, und die Vertrauenswürdigkeit ebenfalls an diesem Parameter festmachen.
Details z.B. von hier:
https://magazin.sslmarket.de/inpage/gul ... st-besser/
VG
Earl