갑자기 Gmail이 아래 메시지와 함께 내 메일 서버(postfix, dovecot)에서 더 이상 메일을 가져올 수 없습니다.
Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"
우리는 최근 서버를 변경하지 않았으며 모든 pop3, imap 및 smtp에서 tls v1.2를 사용하고 있습니다.
Gmail에서는 SMTP가 여전히 제대로 작동하고 있습니다.
Thunderbird, Outlook, 메일 교환 등의 다른 메일 클라이언트는 서버 없이도 잘 작동합니다.
편집하다:여러 개의 pop3 SSL 유효성 검사 웹사이트와 " "와 같은 명령줄을 확인했는데 openssl s_client
서버가 모두 통과했습니다.
답변1
수요일부터 Google 메일 서버는 더 이상 sha1 해시 알고리즘을 사용하여 서명된 중간 인증서를 허용하지 않는 것 같습니다.
명령을 실행하면 openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcerts
메일 서버가 중간 인증서의 sha1 버전을 제공하고 있다는 사실이 드러났습니다.
귀하의 경우를 담당하는 중간 CA 이름은 모르지만(귀하의 경우 1번째, 제 경우 2번째입니다) 해당 CA에서 재발급된 중간 CA 인증서를 찾으실 수 있을 거라 확신합니다. 웹사이트. 매개변수를 openssl s_client …
사용하여 실행하면 숫자가 있는 블록이 -showcerts
표시됩니다 ( 두 번째 블록이 됨). 해당 BEGIN to END CERTIFICATE 블록을 .crt 또는 .cer 파일에 복사하고 Windows에서 열어 세부 정보를 볼 수 있습니다.-----BEGIN CERTIFICATE-----
Certificate chain
1
0
내 경우 해당 중간 CA의 경우 루트 CA는 이미 4년 전에 동일한 인증서의 sha256 서명 버전을 재발행했지만 서버 관리자는 이전 sha-1 버전을 체인에 넣었습니다. 내 특별한 경우에는 해당 메일 계정을 더 이상 적극적으로 사용하지 않고 해당 메일 서버의 관리자가 SSL/TLS 컨텍스트를 경험하지 않은 것 같기 때문에 그냥 무시하겠습니다. (2016년에는 무엇이 잘못됐는지, 어떻게 고치는지 자세히 알려줬는데도 고치는 데 2개월이 걸렸고, 그래도 100% 맞추지는 못했습니다.)