[umka]

Можно, в принципе, изобрести велосипед и дополнить его костылями…

Перекинуть DNS-ы домена на свои, которыми можно управлять.

Для хоста без www указать сразу нужный айпишник.

Для поддомена www указать другой айпишник — какого-нибудь хостинга, на котором уже сделать редирект.

Редирект на уровне регистратора? o_O

Как они себе это видят? Попробуйте поинтересоваться.

Регистратор регистрирует домены.

Делегирует и разделегирует.

Всё. Больше он ни чем не занимается.

Нужно не экранировать, а обрабатывать значение %{QUERY_STRING} с помощью дополнительного RewriteCond.

Поищите, это обсуждалось 100500 раз.

Значит в вашей системе, на которой вы делаете проверку, не установлены корневые сертификаты или ваш openssl не знает где они лежат.

А если openssl-у не известно, каким сертификатам доверять, то ясно дело все сертификаты будут считаться самоподписанными, потому что COMODO / Verisign / Thawte / и все остальные подписывают их САМИ ☝

Укажите конкретный путь к корневым сертификатам с помощью -CApath или -CAfile.

~ umka$ openssl s_client -connect mail.mediatver.ru:pop3s -CAfile ~/ssl/Certificates.pem 

CONNECTED(00000003)

depth=3 /C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

verify return:1

depth=2 /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

verify return:1

depth=1 /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA

verify return:1

depth=0 /OU=Domain Control Validated/OU=PositiveSSL/CN=mail.mediatver.ru

verify return:1

---

Certificate chain

 0 s:/OU=Domain Control Validated/OU=PositiveSSL/CN=mail.mediatver.ru

   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA

 1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA

   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

 2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority

   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

 3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

   i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root

---

Server certificate

-----BEGIN CERTIFICATE-----

MIIFWDCCBECgAwIBAgIRAMAONsFs8E2+3XnyTj96GXQwDQYJKoZIhvcNAQELBQAw

gZAxCzAJBgNVBAYTAkdCMRswGQYDVQQIExJHcmVhdGVyIE1hbmNoZXN0ZXIxEDAO

BgNVBAcTB1NhbGZvcmQxGjAYBgNVBAoTEUNPTU9ETyBDQSBMaW1pdGVkMTYwNAYD

VQQDEy1DT01PRE8gUlNBIERvbWFpbiBWYWxpZGF0aW9uIFNlY3VyZSBTZXJ2ZXIg

Q0EwHhcNMTUwNDIxMDAwMDAwWhcNMTYwNDIwMjM1OTU5WjBVMSEwHwYDVQQLExhE

b21haW4gQ29udHJvbCBWYWxpZGF0ZWQxFDASBgNVBAsTC1Bvc2l0aXZlU1NMMRow

GAYDVQQDExFtYWlsLm1lZGlhdHZlci5ydTCCASIwDQYJKoZIhvcNAQEBBQADggEP

ADCCAQoCggEBAMz7vDMGZMEFH7Jh/l7nhO5wpvZFQinUUIHxrHIppsm8txKrDvyf

Xpa38ZP/EsUaj5qIf/CoWNMeT4cENKw1CJ6/Ws10UjA0WaF8vildbkf5sKmV048t

P6lZrtS5N2OUhzL5LU1deCnt0DhAWl5OhNPrhhKd/5IvQIyrsfUptKORysOKDBET

HPzaMsjgGy1wBx3CorcPYlKKxKXYGz/BZDPC0jabg4oGgzmKc4hyaFuC5x1gBjUE

xxDtcG5+f7IyLlIcp7tQKFz1T4qJgMxgCI0r24ySW5CeZpOR3/zLUU9iTN+FCXTB

krgZGAUm2YTJmZjhFEjia4xz9dVulQ43BScCAwEAAaOCAeUwggHhMB8GA1UdIwQY

MBaAFJCvajqUWgvYkOoSVnPfQ7Q6KNrnMB0GA1UdDgQWBBT5gCeHHA1m65rpouLK

0TxdDAL6jTAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAdBgNVHSUEFjAU

BggrBgEFBQcDAQYIKwYBBQUHAwIwTwYDVR0gBEgwRjA6BgsrBgEEAbIxAQICBzAr

MCkGCCsGAQUFBwIBFh1odHRwczovL3NlY3VyZS5jb21vZG8uY29tL0NQUzAIBgZn

gQwBAgEwVAYDVR0fBE0wSzBJoEegRYZDaHR0cDovL2NybC5jb21vZG9jYS5jb20v

Q09NT0RPUlNBRG9tYWluVmFsaWRhdGlvblNlY3VyZVNlcnZlckNBLmNybDCBhQYI

KwYBBQUHAQEEeTB3ME8GCCsGAQUFBzAChkNodHRwOi8vY3J0LmNvbW9kb2NhLmNv

bS9DT01PRE9SU0FEb21haW5WYWxpZGF0aW9uU2VjdXJlU2VydmVyQ0EuY3J0MCQG

CCsGAQUFBzABhhhodHRwOi8vb2NzcC5jb21vZG9jYS5jb20wMwYDVR0RBCwwKoIR

bWFpbC5tZWRpYXR2ZXIucnWCFXd3dy5tYWlsLm1lZGlhdHZlci5ydTANBgkqhkiG

9w0BAQsFAAOCAQEAYovE80EskqYk5Bji3ihXD2hcrDaomx2wCjLrm1ppSaS3jVzu

VrU6jKId34Azvk9EHifj8myL6GPuuh+yn5ZEwIrg5HsBmIzW+tg4QAO6+K1bL2+h

PrQfVoH9ZiK0nbniFIgck5qcXK4D8+QpMHdaiCggRL0XsAv5oyrJ+ClPisOxtq6R

baMfIQ2pRKfpDeiiYM1NQqKaOu4bsUqquFAcy5Td3bhPqnfG4YZqLVEKeh9MhmeQ

3Y7Cyo9kzgdEpl9cnXP5ir6x15X9A1e+YKU9psbSa/NImrU2kEcvI3BfioUJboi+

5NeyH1LV24whjjnv9Sai9zXrwOUVR3if/a6zxg==

-----END CERTIFICATE-----

subject=/OU=Domain Control Validated/OU=PositiveSSL/CN=mail.mediatver.ru

issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA

---

No client certificate CA names sent

---

SSL handshake has read 6110 bytes and written 328 bytes

---

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA

Server public key is 2048 bit

Secure Renegotiation IS supported

Compression: NONE

Expansion: NONE

SSL-Session:

    Protocol  : TLSv1

    Cipher    : DHE-RSA-AES256-SHA

    Session-ID: D1FE55756A443EA50CEC933074D581DF516CF3326CC03CE8733B42972675258D

    Session-ID-ctx: 

    Master-Key: A2C443D277C3387FF2BE7202CE40E03EB350A3808AA8BC7C9ED152F014084C57B8BFE2D7F5D29A0724F431F771FBC801

    Key-Arg   : None

    Start Time: 1429777693

    Timeout   : 300 (sec)

    Verify return code: 0 (ok)

---

+OK Dovecot (Ubuntu) ready.

QUIT

DONE

~ umka$ 

openssl s_client -connect mail.mediatver.ru:pop3s -verify 5

Так это уже не Postfix, а Dovecot.

У него другой файл конфигурации и другой синтаксис.

Заходим в гугл и набираем: dovecot ssl

Это несложно.

https://www.google.ru/search?q=dovecot+ssl

Находим документацию:

http://wiki2.dovecot.org/SSL/DovecotConfiguration

Читаем.

Там всё написано и есть все наобходимые параметры.

Даже в самом конфиге dovecot-а все параметры подробно описаны.

Да что вы прицепились к этому расширению файла :)

Расширение файла только в виндовсе как-то влияет на то, как система и программы относятся к его содержимому.

Во всех этих файлах стандартная абракадабра:

-----BEGIN CERTIFICATE-----

... bla-bla-bla ...

-----END CERTIFICATE-----

Ничего конвертировать не нужно. Файлы можете назвать хоть "pem", хоть "exe", хоть вовсе без расширения.

Главное, чтобы внутри были ключи или сертификаты.

Кладёте их куда угодно, лишь бы в настройках программ были указаны правильные пути до них, и файлы были доступны для чтения.

---------- Добавлено 22.04.2015 в 15:11 ----------

Тогда уж сразу так

openssl x509 -in файл_сертификата -text

или так

openssl rsa -in файл_ключа -text

И увидите содержимое сертификатов и ключей (если они в "правильном" формате).

Мануал по этой ссылке:

http://www.postfix.org/TLS_README.html

Она же первая в гугле по запросу "postfix ssl" или "postfix tls".

Все сертификаты с буквами CA — промежуточные. Их содержимое кладёте в один файл, который указываете в smtpd_tls_CAfile.

Файл с сертификатом для вашего домена указываете в smtpd_tls_cert_file.

Файл с ключом указываете в smtpd_tls_key_file.

Расширение файлов может быть любое. Главное — содержимое.

У вас хостинг виртуальный или VPS?

Если VPS, покажите целиком конфигурацию SSL-ного хоста и всей SSL-секции.

Заодно уж ради интереса ткните своим браузером в https://www.gig.ru/

Есть ли ошибка?

Я нашёл Windows XP с IE6 и даже в нём ваш сайт на сертификат не жалуется.

Ругается только на подгружаемый контент с хоста с кривым сертификатом.

Может, вы путаете это сообщение с ошибкой сертификата на вашем сайте?

Вот отсюда подгружается скрипт:

https://cc.calltracking.ru/phone.d8b08.1572.async.js

И у этого хоста кривой сертификат.

В 10 и 11 должно работать.