Внезапно gmail перестал получать почту с моего почтового сервера (postfix, dovecot), появляется следующее сообщение:
Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"
Мы не вносили никаких последних изменений на наш сервер, мы используем tls v1.2 на всех pop3, imap и smtp,
SMTP по-прежнему работает нормально на Gmail,
Любые другие почтовые клиенты, такие как Thunderbird, Outlook, Mail Exchange и т. д., работают нормально с нашим сервером.
Редактировать:Я проверил несколько сайтов проверки pop3 ssl и командную строку, например " openssl s_client
", и наш сервер прошел все проверки
решение1
Похоже, со среды почтовые серверы Google больше не принимают промежуточные сертификаты, подписанные с использованием алгоритма хеширования sha1.
Выполнение команды openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcerts
показало мне, что почтовый сервер предоставлял (и до сих пор предоставляет) версию промежуточного сертификата sha1.
Я не знаю имени промежуточного центра сертификации, который отвечает в вашем случае (в вашем случае это первый, в моем — второй), но я уверен, что вы найдете переизданный сертификат промежуточного центра сертификации на веб-сайте центра сертификации. Запуск openssl s_client …
с -showcerts
параметром должен показать -----BEGIN CERTIFICATE-----
блок, под Certificate chain
которым находится номер 1
(он начинает отсчет с , 0
поэтому это будет 2-й блок). Вы можете скопировать этот блок BEGIN to END CERTIFICATE в файл .crt или .cer и открыть его в Windows, чтобы увидеть подробности.
Для этого конкретного промежуточного центра сертификации в моем случае корневой центр сертификации уже перевыпустил версию того же сертификата, подписанную sha256, 4 года назад, но администратор сервера поместил в цепочку старую версию sha-1. В моем конкретном случае я просто проигнорирую это, потому что я больше не использую активно эту учетную запись электронной почты, а администраторы этого почтового сервера, похоже, не имеют опыта в контексте SSL/TLS. (В 2016 году им потребовалось 2 месяца, чтобы понять, в чем проблема и как ее исправить, хотя я подробно им все рассказал, и тогда им все равно не удалось сделать это на 100% правильно.)