[Exim-users] TLS error on connection from

78 views
Skip to first unread message

Alexander Titaev

unread,
Oct 5, 2021, 3:37:10 AM10/5/21
to exim-...@mailground.net
Здравствуйте, Exim-users.

2021-10-04 23:59:14 TLS error on connection from mail-out.emea.daimler.com [141.113.1.134] (SSL_accept): error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired

я правильно понимаю что mail-out.emea.daimler.com, выступающий в роли клиента, дропает соединение тк считает что у меня
просроченный серт?

а серт с моей стороны вот такой

* Server certificate:
* subject: CN=mail.fcirkutsk.ru
* start date: Aug 18 03:07:20 2021 GMT
* expire date: Nov 16 03:07:18 2021 GMT
* subjectAltName: host "mail.fcirkutsk.ru" matched cert's "mail.fcirkutsk.ru"
* issuer: C=US; O=Let's Encrypt; CN=R3
* SSL certificate verify ok.

--
С уважением,
Alexander mailto:t...@irk.ru


_______________________________________________
Exim-users mailing list
Exim-...@mailground.net
http://mailground.net/mailman/listinfo/exim-users

Vladimir Sharun

unread,
Oct 5, 2021, 4:29:19 AM10/5/21
to Exim MTA на русском
Привет,

Lets Encrypt - ожидаемо проблемный серт с 1 октября


Чтобы не было гемора - купить коммерческий серт и забИть.

Let's encrypt - ok для веба, но для вот таких применений с эшелонами легаси - это проблема.



5 жовтня 2021, 10:37:11, від "Alexander Titaev" <t...@irk.ru>:

Alexander Titaev

unread,
Oct 5, 2021, 4:36:36 AM10/5/21
to Exim MTA на русском
Здравствуйте, Alexander.

Вы писали 5 октября 2021 г., 15:36:35:

> Здравствуйте, Exim-users.

> 2021-10-04 23:59:14 TLS error on connection from mail-out.emea.daimler.com [141.113.1.134] (SSL_accept):
> error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired

> я правильно понимаю что mail-out.emea.daimler.com, выступающий в роли клиента, дропает соединение тк считает что у меня
> просроченный серт?

> а серт с моей стороны вот такой

> * Server certificate:
> * subject: CN=mail.fcirkutsk.ru
> * start date: Aug 18 03:07:20 2021 GMT
> * expire date: Nov 16 03:07:18 2021 GMT
> * subjectAltName: host "mail.fcirkutsk.ru" matched cert's "mail.fcirkutsk.ru"
> * issuer: C=US; O=Let's Encrypt; CN=R3
> * SSL certificate verify ok.


вскрытие показало что той стороне не нравится цепочка

Certificate chain
0 s:/CN=mail.fcirkutsk.ru
i:/C=US/O=Let's Encrypt/CN=R3
1 s:/C=US/O=Let's Encrypt/CN=R3
i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
i:/O=Digital Signature Trust Co./CN=DST Root CA X3

вернее наличие в ней DST Root CA X3

https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/

серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в ней остался. Ручная правка проблему решила.
Но это костыль. Как быть?

George L. Yermulnik

unread,
Oct 5, 2021, 6:46:31 AM10/5/21
to exim-...@mailground.net
Hello!

On Tue, 05 Oct 2021 at 16:30:47 (+0800), Alexander Titaev wrote:

> вскрытие показало что той стороне не нравится цепочка

> Certificate chain
> 0 s:/CN=mail.fcirkutsk.ru
> i:/C=US/O=Let's Encrypt/CN=R3
> 1 s:/C=US/O=Let's Encrypt/CN=R3
> i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
> 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
> i:/O=Digital Signature Trust Co./CN=DST Root CA X3

> вернее наличие в ней DST Root CA X3

> https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/

> серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в ней остался. Ручная правка проблему решила.
> Но это костыль. Как быть?

Обновить certbot и перевыпустить сертификат с указанием preferred-chain (с) мопед не мой
https://stackoverflow.com/questions/69397845/trust-issue-while-sending-a-post-to-my-api-since-dst-root-ca-x3-expiration

--
George L. Yermulnik
[YZ-RIPE]

Alexander Titaev

unread,
Oct 5, 2021, 7:16:22 AM10/5/21
to Exim MTA на русском
Здравствуйте, George.

Вы писали 5 октября 2021 г., 18:45:57:

> Hello!

> On Tue, 05 Oct 2021 at 16:30:47 (+0800), Alexander Titaev wrote:

>> вскрытие показало что той стороне не нравится цепочка

>> Certificate chain
>> 0 s:/CN=mail.fcirkutsk.ru
>> i:/C=US/O=Let's Encrypt/CN=R3
>> 1 s:/C=US/O=Let's Encrypt/CN=R3
>> i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
>> 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
>> i:/O=Digital Signature Trust Co./CN=DST Root CA X3

>> вернее наличие в ней DST Root CA X3

>> https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/

>> серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в ней остался. Ручная правка проблему решила.
>> Но это костыль. Как быть?

> Обновить certbot и перевыпустить сертификат с указанием preferred-chain (с) мопед не мой
> https://stackoverflow.com/questions/69397845/trust-issue-while-sending-a-post-to-my-api-since-dst-root-ca-x3-expiration


в моем случае помогло обновление
pkg upgrade ca_root_nss
и перевыпуск сертификата


--
С уважением,
Alexander mailto:t...@irk.ru

George L. Yermulnik

unread,
Oct 5, 2021, 7:31:02 AM10/5/21
to exim-...@mailground.net
Hello!

On Tue, 05 Oct 2021 at 19:15:58 (+0800), Alexander Titaev wrote:

> в моем случае помогло обновление
> pkg upgrade ca_root_nss
> и перевыпуск сертификата

Хм-м, я из устанавливаемых им файлов руками DST Root удалял на днях.
Сейчас специально переустановил и DST Root вернулся (ca_root_nss-3.69_1).
Правда, я порты использую.

--
George L. Yermulnik
[YZ-RIPE]

_______________________________________________

Alexander Sheiko

unread,
Oct 5, 2021, 7:46:04 AM10/5/21
to Exim MTA на русском
05.10.2021, Vladimir Sharun<vladimi...@ukr.net> написал(а):

> Lets Encrypt - ожидаемо проблемный серт с 1 октября
>
> https://habr.com/ru/post/580092/

Они там немного загнули. У нас парк машин - на XP сертификат уже
невалиден, как и на части семёрок. Автообновление сертфикатов в винде
включено, по умолчанию. Меньше всего проблем с Мозиллой - у неё своё
хранилище.

> Чтобы не было гемора - купить коммерческий серт и забИть.

Проблема древних OpenSSL лечится простейшим патчиком:

https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/032_cert.patch.sig

После него, весь слинкованный софт нормально работает.

Вот ещё инфа по теме:

https://www.opennet.ru/opennews/art.shtml?num=55875

--
Alexander Sheiko

Vladimir Sharun

unread,
Oct 5, 2021, 8:01:35 AM10/5/21
to Exim MTA на русском
Привет,

Let's Encrypt сертификат - это хороший продукт для внутренних продуктов организации и для таких внешних продуктов, которые "это твоя проблема, что ты не можешь посмотреть контент под этим сертом". Т.е. юзер скорее внутренне мотивирован преодолеть барьер "мне нужен этот контент".

Для сервисов, где требуется получить максимальный охват в т.ч. старых клиентов, Let's Encrypt - опасность.

По-этому с точки зрения времени и денег дешевле купить серт, он стоит точно меньше времени, которое будет в итоге потрачено на имплементацию и пост-проверки.

5 жовтня 2021, 14:46:09, від "Alexander Sheiko" <ad...@univ.kiev.ua>:

Alexander Sheiko

unread,
Oct 5, 2021, 11:44:21 AM10/5/21
to Exim MTA на русском
05.10.2021, Vladimir Sharun<vladimi...@ukr.net> написал(а):

> Для сервисов, где требуется получить максимальный охват в т.ч. старых
> клиентов, Let's Encrypt - опасность.
>
> По-этому с точки зрения времени и денег дешевле купить серт, он стоит точно
> меньше времени, которое будет в итоге потрачено на имплементацию и
> пост-проверки.

Похоже, что платные сертификаты скоро станут актуальными, лишь для
сервисов, вроде банковских:

--
Сейчас Let’s Encrypt — самый популярный центр сертификации в мире. По
данным с официального сайта компании в мире 158 миллионов активных
сертификатов Let’s Encrypt, а за всё время компания выпустила уже
больше миллиарда сертификатов.
Lets Encrypt сертификат — доля на рынке SSL
Статистика использования SSL-сертификатов на 9 апреля 2021. Скриншот с
сайта w3techs.com:

https://hostiq.ua/wiki/wp-content/uploads/2017/05/00-how-to-install-lets-encrypt-ssl-compressed.png

На скриншоте сертификаты Let’s Encrypt представлены в основном как
IdenTrust, а не как Let’s Encrypt. Это потому что в 2015 году компании
заключили договор.
--

Проблема то не в сертификатах Let's Encrypt, а в некорректной
обработке их частью клиентов, когда есть две подписи и одна
просрочена.

Искусственное устаревание браузеров - общая тенденция в мире. В старых
браузерах многие новые сайты вообще не грузятся. В первую очередь -
самые популярные в мире сервисы. Поэтому - ограничения, из-за
некорректной проверки сертификата, здесь будут не самыми актуальными.

Opera 12.18 всё ещё прекрасно понимает Let's Encrypt, но попробуйте
посмотреть в ней те же сервисы гугла или фейсбука. Короче говоря -
грабли лежат совсем с другой стороны.

Vladimir Sharun

unread,
Oct 5, 2021, 12:01:21 PM10/5/21
to Exim MTA на русском
Привет,

Да самый простой тест - это посмотреть серты на сайтах, на которые ты ходишь каждый день.
И там Let's Encrypt'а будет другая статистика.

5 жовтня 2021, 18:44:25, від "Alexander Sheiko" <ad...@univ.kiev.ua>:

Alexander Sheiko

unread,
Oct 5, 2021, 12:29:25 PM10/5/21
to Exim MTA на русском
05.10.2021, Vladimir Sharun<vladimi...@ukr.net> написал(а):

> Да самый простой тест - это посмотреть серты на сайтах, на которые ты ходишь
> каждый день.
> И там Let's Encrypt'а будет другая статистика.

В старых браузерах и ОС их будет проблемно смотреть, совершенно не
из-за сертификатов.

Alexander Sheiko

unread,
Oct 5, 2021, 4:20:32 PM10/5/21
to Exim MTA на русском
05.10.2021, George L. Yermulnik<y...@yz.kiev.ua> написал(а):

> Обновить certbot и перевыпустить сертификат с указанием preferred-chain (с)
> мопед не мой
> https://stackoverflow.com/questions/69397845/trust-issue-while-sending-a-post-to-my-api-since-dst-root-ca-x3-expiration

Помогло для Оперы 12.18, поскольку сегодня вечером DSTROOTCAX3CRL.crt
уже выпилен с сайта:

TCP_NEGATIVE_HIT/404 1125 GET http://crl.identrust.com/DSTROOTCAX3CRL.crl

(на сертификат не ругается, просто пишет, что соединение небезопасно -
не может вытащить этот DSTROOTCAX3CRL.crl)

К слову - certbot жуткий тормоз и монстр, в сравнении с acme.sh,
Перманентный рецепт для последнего - в самом низу страницы по ссылке:

https://github.com/acmesh-official/acme.sh/wiki/Preferred-Chain

acme.sh --set-default-chain --preferred-chain "ISRG" --server letsencrypt

--
Alexander Sheiko

Alexander Titaev

unread,
Oct 6, 2021, 12:56:06 AM10/6/21
to Exim MTA на русском
Здравствуйте, George.

Вы писали 5 октября 2021 г., 19:30:33:

> Hello!

> On Tue, 05 Oct 2021 at 19:15:58 (+0800), Alexander Titaev wrote:

>> в моем случае помогло обновление
>> pkg upgrade ca_root_nss
>> и перевыпуск сертификата

> Хм-м, я из устанавливаемых им файлов руками DST Root удалял на днях.
> Сейчас специально переустановил и DST Root вернулся (ca_root_nss-3.69_1).
> Правда, я порты использую.


да проглядел, надо еще
certbot renew --preferred-chain "ISRG Root X1" --force-renewal


--
С уважением,
Alexander mailto:t...@irk.ru

George L. Yermulnik

unread,
Oct 6, 2021, 6:11:31 AM10/6/21
to exim-...@mailground.net
Hello!

On Wed, 06 Oct 2021 at 12:55:36 (+0800), Alexander Titaev wrote:

> >> в моем случае помогло обновление
> >> pkg upgrade ca_root_nss
> >> и перевыпуск сертификата

> > Хм-м, я из устанавливаемых им файлов руками DST Root удалял на днях.
> > Сейчас специально переустановил и DST Root вернулся (ca_root_nss-3.69_1).
> > Правда, я порты использую.

> да проглядел, надо еще
> certbot renew --preferred-chain "ISRG Root X1" --force-renewal

Только это и надо (обновить certbot и использовать preferred-chain).
А ca_root_nss - для проверки нами сертификатов remote стороны.

--
George L. Yermulnik
[YZ-RIPE]

_______________________________________________

Reply all
Reply to author
Forward
0 new messages