1

Внезапно gmail больше не может получать почту с моего почтового сервера (postfix, dovecot), с сообщением ниже:

Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"

Мы не делали никаких недавних изменений на нашем сервере, мы используем tls v1.2, для всех pop3, imap и smtp,

SMTP все еще работает нормально на Gmail,

Любые другие почтовые клиенты, такие как Thunderbird, outlook, mail exchange ... и т.д. Отлично работают с нашим сервером.

Изменить: я проверил несколько сайтов проверки pop3 ssl и командной строки, как " openssl s_client ", и наш сервер прошел все

1 ответ1

4

Похоже, что в среду почтовые серверы Google больше не принимают промежуточные сертификаты, подписанные с использованием алгоритма хеширования sha1.

Выполнение команды openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcerts показало мне, что почтовый сервер предоставлял (и продолжает поддерживать) версию промежуточного сертификата sha1.

Я не знаю названия промежуточного ЦС, который отвечает за ваше дело (это 1-е в вашем случае, это было 2-е в моем случае), но я уверен, что вы найдете переизданный сертификат промежуточного ЦС в ЦС Веб-сайт. Запуск openssl s_client … с параметром -showcerts должен показать -----BEGIN CERTIFICATE----- в Certificate chain где число равно 1 (начинается отсчет с 0 так что это будет 2-й блок). Вы можете скопировать этот блок BEGIN to END CERTIFICATE в файл .crt или .cer и открыть его в Windows, чтобы увидеть подробности.

Для этого конкретного промежуточного ЦС в моем случае корневой ЦС уже переиздал подписанную sha256 версию того же сертификата 4 года назад, но администратор сервера включил старую версию sha-1 в цепочку. В моем конкретном случае я просто проигнорирую это, потому что я больше не использую эту почтовую учетную запись, и администраторы этого почтового сервера, кажется, не имеют опыта в контексте SSL/TLS. (В 2016 году им потребовалось 2 месяца, чтобы понять, что не так и как это исправить, хотя я рассказал им все подробно, а затем им все равно не удалось сделать это на 100% правильно.)

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .