突然 gmail 無法從我的郵件伺服器(postfix、dovecot)取得郵件,並顯示以下訊息:
Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"
我們最近沒有對伺服器進行任何更改,我們在所有 pop3、imap 和 smtp 上使用 tls v1.2,
Gmail 上的 SMTP 仍然可以正常運作,
任何其他郵件用戶端,如 Thunderbird、outlook、郵件交換等,無需伺服器即可正常運作
編輯:我檢查了多個pop3 ssl驗證網站和命令行,如“ openssl s_client
”,我們的伺服器通過了所有
答案1
自周三以來,Google 郵件伺服器似乎不再接受使用 sha1 雜湊演算法簽署的中間憑證。
運行該命令openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcerts
讓我發現郵件伺服器曾經(並且仍然)提供中間憑證的 sha1 版本。
我不知道在您的情況下負責的中間CA 的名稱(在您的情況下是第一個,在我的情況下是第二個),但我確信您會在CA 上找到重新頒發的中間CA證書網站。openssl s_client …
使用參數運行-showcerts
應該顯示數字所在的區塊-----BEGIN CERTIFICATE-----
(它開始計數,因此它將是第二個區塊)。您可以將該 BEGIN to END CERTIFICATE 區塊複製到 .crt 或 .cer 檔案中,然後在 Windows 上開啟它以查看詳細資訊。Certificate chain
1
0
對於我的情況中的特定中間 CA,根 CA 已在 4 年前重新頒發了同一憑證的 sha256 簽章版本,但伺服器管理員將舊的 sha-1 版本放入鏈中。在我的特殊情況下,我會忽略它,因為我不再主動使用該郵件帳戶,而該郵件伺服器的管理員似乎在 SSL/TLS 上下文中沒有經驗。 (2016年,儘管我詳細告訴了他們,他們還是花了兩個月的時間才意識到問題所在以及如何解決,然後他們仍然沒有做到100%正確。)