De repente, o Gmail não consegue mais buscar e-mails do meu servidor de e-mail (postfix, dovecot), com a mensagem abaixo:
Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"
Não fizemos nenhuma alteração recente em nosso servidor, estamos usando tls v1.2, em todos os pop3, imap e smtp,
O SMTP ainda está funcionando bem no Gmail,
Quaisquer outros clientes de e-mail como Thunderbird, Outlook, mail exchange ..etc estão funcionando bem sem o servidor
Editar:Verifiquei vários sites de validação SSL pop3 e linha de comando como " openssl s_client
", e nosso servidor passou em todos
Responder1
Parece que desde quarta-feira os servidores de e-mail do Google não aceitam mais certificados intermediários assinados usando o algoritmo hash sha1.
A execução do comando openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcerts
me revelou que o servidor de e-mail estava (e ainda está) fornecendo a versão sha1 do certificado intermediário.
Não sei o nome da CA Intermediária responsável no seu caso (é a 1ª no seu caso, foi a 2ª no meu caso), mas tenho certeza que você encontrará um Certificado de CA Intermediária reemitido na CA local na rede Internet. Executar openssl s_client …
com o -showcerts
parâmetro deve mostrar o -----BEGIN CERTIFICATE-----
bloco Certificate chain
onde está o número 1
(começa a contar 0
então seria o 2º bloco). Você pode copiar o bloco BEGIN to END CERTIFICATE em um arquivo .crt ou .cer e abri-lo no Windows para ver os detalhes.
Para essa CA intermediária específica, no meu caso, a CA raiz já havia reemitido uma versão assinada sha256 do mesmo certificado há 4 anos, mas o administrador do servidor colocou a versão antiga sha-1 na cadeia. No meu caso específico, irei simplesmente ignorá-lo porque não estou mais usando ativamente essa conta de e-mail e os administradores desse servidor de e-mail não parecem ter experiência no contexto SSL/TLS. (Em 2016, eles levaram 2 meses para perceber o que estava errado e como consertar, embora eu tivesse contado a eles em detalhes, e mesmo assim eles ainda não conseguiram acertar 100%.)