A opção CAFile
configura uma CA a ser usada para certificados de autenticação de cliente; isso não é o que você quer.
Em vez disso, você deseja criar o arquivo na opção cert
para conter toda a cadeia de certificados aplicável. Você desejará salvar uma cópia de backup desse arquivo e criar uma nova; basicamente combinando os dois arquivos, formatados assim:
-----BEGIN CERTIFICATE-----
(certificate from asana.pem file pasted here)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(intermediate certificate here; copy-paste the top chunk from the bundle)
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
(root certificate here; copy-paste the bottom chunk from the bundle)
-----END CERTIFICATE-----
Isso forçará o stunnel a apresentar a cadeia de certificados completa aos clientes.
Mais um petisco; O comando openssl s_client
é muito útil para testar problemas de cadeia de certificados e verificar como seu serviço está apresentando seus certificados.
Editar: Ok .. a cadeia desse pacote de certificados tem três profundidades, mas a cadeia de confiança parece ter duas profundidades. Algo não está certo.
O certificado principal ("Autoridade de Certificação Starfield Secure") é assinado por um emissor chamado "Autoridade de Certificação Starfield Classe 2" com uma impressão digital começando com ad7e1c28
.. mas o segundo certificado do pacote denominado exatamente o mesmo que o signatário do primeiro cert, que deve ser exatamente o mesmo certificado, tem uma impressão digital começando com 363e4734
e uma data de expiração 10 anos antes. Então o terceiro certificado (raiz) é o signatário do certificado intermediário incluído .. mas nenhum desses dois tem relação com o primeiro!
Se isso não fizer sentido, não se preocupe. Resumo: trabalho desleixado, alguém seriamente deixou cair a bola construindo este pacote cert. Sua melhor aposta, então, é exportar os arquivos no formato base-64 de um navegador que valida com sucesso a cadeia, colando-os no formato que eu listei a partir daí.
Como essa é uma bagunça confusa sem nenhuma falha sua, adivinhei seu nome DNS e peguei o certificado, e acho que essa deve ser a cadeia completa de que você precisa: link