突然、Gmail がメール サーバー (postfix、dovecot) からメールを取得できなくなり、次のメッセージが表示されます。
Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"
私たちのサーバーでは最近変更は行っていません。すべてのPOP3、IMAP、SMTPでTLS v1.2を使用しています。
SMTPはGmailではまだ正常に動作しています。
Thunderbird、Outlook、Mail Exchangeなどの他のメールクライアントは、当社のサーバーで正常に動作します。
編集:複数のpop3 ssl検証ウェブサイトと「openssl s_client
」のようなコマンドラインをチェックしましたが、私たちのサーバーはすべて合格しました。
答え1
水曜日以降、Google メール サーバーは sha1 ハッシュ アルゴリズムを使用して署名された中間証明書を受け入れなくなったようです。
コマンドを実行すると、openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcerts
メール サーバーが中間証明書の sha1 バージョンを提供している (現在も提供している) ことがわかりました。
あなたのケースで責任がある中間 CA の名前はわかりません (あなたのケースでは 1 番目、私のケースでは 2 番目でした) が、CA の Web サイトで再発行された中間 CA 証明書が見つかるはずです。パラメータopenssl s_client …
を指定して実行すると、番号があるブロック-showcerts
が表示されます(カウントは から始まるので、2 番目のブロックになります)。その BEGIN から END CERTIFICATE までのブロックを .crt または .cer ファイルにコピーし、Windows で開いて詳細を確認できます。-----BEGIN CERTIFICATE-----
Certificate chain
1
0
私の場合、その特定の中間 CA については、ルート CA が 4 年前に同じ証明書の sha256 署名バージョンを再発行していましたが、サーバー管理者が古い sha-1 バージョンをチェーンに追加しました。私の場合、そのメール アカウントを積極的に使用しておらず、そのメール サーバーの管理者は SSL/TLS コンテキストの経験がないように思われるため、無視します。(2016 年には、詳細に説明したにもかかわらず、何が問題で、どのように修正すればよいかがわかるまでに 2 か月かかり、それでも 100% 正しく修正できませんでした。)