Gmail pop3 ssl no puede recuperar el servidor de correo

Gmail pop3 ssl no puede recuperar el servidor de correo

De repente, Gmail no puede recuperar más correos de mi servidor de correo (postfix, dovecot), con el siguiente mensaje:

Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"

No hicimos ningún cambio reciente en nuestro servidor, estamos usando tls v1.2, en todos los pop3, imap y smtp,

SMTP todavía funciona bien en Gmail,

Cualquier otro cliente de correo como Thunderbird, Outlook, Mail Exchange, etc. funciona bien sin nuestro servidor.

Editar:Revisé varios sitios web de validación pop3 ssl y líneas de comando como " openssl s_client", y nuestro servidor pasó todos

Respuesta1

Parece que desde el miércoles los servidores de correo de Google ya no aceptan certificados intermedios firmados con el algoritmo hash sha1.

La ejecución del comando openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcertsme reveló que el servidor de correo proporcionaba (y sigue proporcionando) la versión sha1 del certificado intermedio.

No sé el nombre de la CA intermedia que es responsable en su caso (es la primera en su caso, fue la segunda en mi caso), pero estoy seguro de que encontrará un certificado de CA intermedia reemitido en la CA. sitio web. Ejecutar openssl s_client …con el -showcertsparámetro debería mostrar el -----BEGIN CERTIFICATE-----bloque debajo Certificate chainde donde está el número 1(comienza a contar, 0por lo que sería el segundo bloque). Puede copiar ese bloque COMENZAR a FINALIZAR CERTIFICADO en un archivo .crt o .cer y abrirlo en Windows para ver los detalles.

Para esa CA intermedia en particular, en mi caso, la CA raíz ya había vuelto a emitir una versión firmada sha256 del mismo certificado hace 4 años, pero el administrador del servidor puso la versión antigua sha-1 en la cadena. En mi caso particular, simplemente lo ignoraré porque ya no uso activamente esa cuenta de correo y los administradores de ese servidor de correo no parecen tener experiencia en el contexto SSL/TLS. (En 2016, les tomó 2 meses darse cuenta de lo que estaba mal y cómo solucionarlo a pesar de que les había contado en detalle, y luego todavía no lograron hacerlo 100% bien).

información relacionada