%2C%20%C2%BFc%C3%B3mo%20hago%20para%20que%20el%20mensajero%20responda%20con%20TLS%201.2%3F.png)
Uno de mis clientes acaba de actualizar Thunderbird a la versión 78 y ahora no puede recibir correos electrónicos porque cree que la conexión IMAP no es TLS 1.2... pero cuando consulto con herramientas en Internet, me dice que es v1. 2.
¿Qué puedo hacer para que vuelva a funcionar?
Estas son algunas de las configuraciones de imapd-ssl:
IMAP_TLS_REQUIRED=1
TLS_PROTOCOL="TLS1_1:TLS1"
TLS_PRIORITY="SECURE128:+SECURE192:-VERS-ALL:+VERS-TLS1.2"
TLS_STARTTLS_PROTOCOL=TLS1
TLS_CIPHER_LIST=HIGH:MEDIUM:!ADH:!MD5:!aNULL:!eNULL:!LOW:!EXP:!RC4
¿Algo claramente incorrecto en estos entornos?
Tenga en cuenta que he visto esta publicación:Thunderbird 78 no se conecta a una cuenta IMAP respaldada por Exchangepero no estoy interesado en un truco. Quiero que el servidor use al menos TLS 1.2.
Ahora probé con openssl y aquí está el resultado:
openssl s_client -connect mail.example.com:143 -tls1_2
CONNECTED(00000003)
140310946449048:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:362:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 5 bytes and written 7 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1604626110
Timeout : 7200 (sec)
Verify return code: 0 (ok)
---
Muestra claramente que la versión 1.2 es compatible. No estoy muy seguro de qué significan los mensajes de certificado de igual/cliente. ¿Podría ser ese el culpable?
Actualización de salida con opensslel comando correcto
Como señaló @, la prueba anterior es incorrecta, necesito que openssl envíe un STARTTLSmensaje, de lo contrario no inicia el cifrado. Sin embargo, me gustaría saber por qué dice TLS 1.2 arriba...
$ openssl s_client -connect mail.example.com:143 -starttls imap
CONNECTED(00000003)
depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3
verify return:1
depth=0 CN = *.example.com
verify return:1
---
Certificate chain
0 s:/CN=*.example.com
i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
1 s:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
Server certificate
-----BEGIN CERTIFICATE-----
...snip...
-----END CERTIFICATE-----
subject=/CN=*.example.com
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
---
No client certificate CA names sent
---
SSL handshake has read 3307 bytes and written 617 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: B2...FA
Session-ID-ctx:
Master-Key: FB...AB
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 7200 (seconds)
TLS session ticket:
0000 - a9 ... 6f ...}.,.........o
0010 - 17 ... 2f .....&..YX.M.8n/
0020 - a9 ... 7f ......Q....Y..*.
0030 - c9 ... a9 .!'f>06Q...z../.
0040 - ff ... 1f .SZ...Z...;X....
0050 - 94 ... f0 .Se[[email protected]...
0060 - c9 ... 44 [email protected]
0070 - b3 ... 3d .......`.'.....=
0080 - a2 ... bf ..=2.Z....^.):..
0090 - 64 ... 42 d.>B....&.+.!..B
Start Time: 1604637492
Timeout : 300 (sec)
Verify return code: 0 (ok)
---
. OK CAPABILITY completed
Eso se ve mucho mejor... excepto por el hecho de que dice TLSv1. Entonces, la configuración es incorrecta ya que me gustaría que dijera TLSv1.2 en su lugar.
Resolución
Después de muchos intentos, no pude hacer que TLS v1.2 funcionara con el servicio de mensajería. Esto es extraño ya quejustoconfigura OpenSSL, por lo que no estoy muy seguro de por qué impediría esa versión, de alguna manera. Pero cualquiera que sea la configuración, nunca pasó por TLS v1.
Entonces, como se sugiere en un comentario, acabo de cambiar apalomar que incluso tiene un script de migración específico para mensajería. Eso funciono. Thunderbird vuelve a cargar todos los correos electrónicos una vez, pero ahora funciona como se esperaba y no perdí ninguna de mis carpetas.