Plötzlich kann Gmail keine E-Mails mehr von meinem Mailserver (Postfix, Dovecot) abrufen und es erscheint die folgende Meldung:
Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"
Wir haben keine Änderungen an unserem Server vorgenommen, wir verwenden TLS v1.2 auf allen POP3-, IMAP- und SMTP-Systemen.
SMTP funktioniert bei Gmail immer noch einwandfrei,
Alle anderen Mail-Clients wie Thunderbird, Outlook, Mail Exchange usw. funktionieren ohne Server einwandfrei.
Bearbeiten:Ich habe mehrere POP3-SSL-Validierungs-Websites und Befehlszeilen wie " openssl s_client
" überprüft und unser Server hat alle bestanden
Antwort1
Es scheint, als würden die Google Mail-Server seit Mittwoch keine Zwischenzertifikate mehr akzeptieren, die mit dem SHA1-Hash-Algorithmus signiert sind.
Durch Ausführen des Befehls openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcerts
wurde mir klar, dass der Mailserver die SHA1-Version des Zwischenzertifikats bereitstellte (und immer noch bereitstellt).
Ich kenne den Namen der Zwischenzertifizierungsstelle nicht, die in Ihrem Fall zuständig ist (in Ihrem Fall ist es die 1., in meinem Fall war es die 2.), aber ich bin sicher, dass Sie auf der Website der Zertifizierungsstelle ein neu ausgestelltes Zwischenzertifizierungsstellenzertifikat finden werden. openssl s_client …
Wenn Sie den -showcerts
Parameter ausführen, sollte der -----BEGIN CERTIFICATE-----
Block unter Certificate chain
der Nummer angezeigt werden 1
(er beginnt mit der Zählung, 0
also wäre es der 2. Block). Sie können diesen BEGIN- bis END-CERTIFICATE-Block in eine .crt- oder .cer-Datei kopieren und unter Windows öffnen, um die Details anzuzeigen.
Für diese spezielle Zwischenzertifizierungsstelle in meinem Fall hatte die Stammzertifizierungsstelle bereits vor 4 Jahren eine mit SHA256 signierte Version desselben Zertifikats neu ausgestellt, aber der Serveradministrator hat die alte SHA-1-Version in die Kette eingefügt. In meinem speziellen Fall werde ich es einfach ignorieren, da ich dieses E-Mail-Konto nicht mehr aktiv verwende und die Administratoren dieses Mailservers im SSL/TLS-Kontext keine Erfahrung zu haben scheinen. (2016 brauchten sie 2 Monate, um zu erkennen, was falsch war und wie man es behebt, obwohl ich es ihnen ausführlich erklärt hatte, und dann haben sie es immer noch nicht 100 % richtig hinbekommen.)