it-swarm-ja.com

Gmail pop3sslはメールサーバーをフェッチできません

突然、Gmailは私のメールサーバー(postfix、dovecot)から次のメッセージでメールをフェッチできなくなりました:

Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"

サーバーで最近の変更は行っていません。すべてのpop3、imap、smtpでtlsv1.2を使用しています。

SMTPはまだGmailで問題なく動作しています。

Thunderbird、Outlook、メール交換などの他のメールクライアントはサーバーなしで正常に動作しています

編集:複数のpop3ssl検証Webサイトとコマンドラインを「openssl s_client "、そして私たちのサーバーはすべてを通過しました

1
MohammedSimba

水曜日以降、Google MailServerはsha1ハッシュアルゴリズムを使用して署名された中間証明書を受け入れなくなったようです。

コマンドopenssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcertsを実行すると、メールサーバーがsha1バージョンの中間証明書を提供していた(そして現在も提供している)ことがわかりました。

あなたのケースで責任を負っている中間CAの名前はわかりませんが(あなたのケースでは1番目、私の場合は2番目でした)、CAに再発行された中間CA証明書が見つかると確信しています。ウェブサイト。 openssl s_client …パラメータを指定して-showcertsを実行すると、-----BEGIN CERTIFICATE-----の下にCertificate chainブロックが表示されます。数値は1です(0でカウントを開始するため、 2番目のブロックになります)。そのBEGINto END CERTIFICATEブロックを.crtまたは.cerファイルにコピーし、Windowsで開いて詳細を確認できます。

私の場合、その特定の中間CAの場合、ルートCAは4年前に同じ証明書のsha256署名付きバージョンをすでに再発行していましたが、サーバー管理者は古いsha-1バージョンをチェーンに入れました。私の特定のケースでは私はそのメールアカウントを積極的に使用しておらず、そのメールサーバーの管理者はSSL/TLSコンテキストの経験がないようであるため、無視します(2016年には、何が悪かったのかを理解するのに2か月かかりました。そして、私が彼らに詳細に話したにもかかわらず、それを修正する方法、そしてそれでも彼らはそれを100%正しくすることができませんでした。)

4
p-schneider