Gmail pop3 ssl не может получить почтовый сервер

Gmail pop3 ssl не может получить почтовый сервер

Внезапно gmail перестал получать почту с моего почтового сервера (postfix, dovecot), появляется следующее сообщение:

Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"

Мы не вносили никаких последних изменений на наш сервер, мы используем tls v1.2 на всех pop3, imap и smtp,

SMTP по-прежнему работает нормально на Gmail,

Любые другие почтовые клиенты, такие как Thunderbird, Outlook, Mail Exchange и т. д., работают нормально с нашим сервером.

Редактировать:Я проверил несколько сайтов проверки pop3 ssl и командную строку, например " openssl s_client", и наш сервер прошел все проверки

решение1

Похоже, со среды почтовые серверы Google больше не принимают промежуточные сертификаты, подписанные с использованием алгоритма хеширования sha1.

Выполнение команды openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcertsпоказало мне, что почтовый сервер предоставлял (и до сих пор предоставляет) версию промежуточного сертификата sha1.

Я не знаю имени промежуточного центра сертификации, который отвечает в вашем случае (в вашем случае это первый, в моем — второй), но я уверен, что вы найдете переизданный сертификат промежуточного центра сертификации на веб-сайте центра сертификации. Запуск openssl s_client …с -showcertsпараметром должен показать -----BEGIN CERTIFICATE-----блок, под Certificate chainкоторым находится номер 1(он начинает отсчет с , 0поэтому это будет 2-й блок). Вы можете скопировать этот блок BEGIN to END CERTIFICATE в файл .crt или .cer и открыть его в Windows, чтобы увидеть подробности.

Для этого конкретного промежуточного центра сертификации в моем случае корневой центр сертификации уже перевыпустил версию того же сертификата, подписанную sha256, 4 года назад, но администратор сервера поместил в цепочку старую версию sha-1. В моем конкретном случае я просто проигнорирую это, потому что я больше не использую активно эту учетную запись электронной почты, а администраторы этого почтового сервера, похоже, не имеют опыта в контексте SSL/TLS. (В 2016 году им потребовалось 2 месяца, чтобы понять, в чем проблема и как ее исправить, хотя я подробно им все рассказал, и тогда им все равно не удалось сделать это на 100% правильно.)

Связанный контент