2021-10-04 23:59:14 TLS error on connection from mail-out.emea.daimler.com [141.113.1.134] (SSL_accept): error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired
я правильно понимаю что mail-out.emea.daimler.com, выступающий в роли клиента, дропает соединение тк считает что у меня
просроченный серт?
а серт с моей стороны вот такой
* Server certificate:
* subject: CN=mail.fcirkutsk.ru
* start date: Aug 18 03:07:20 2021 GMT
* expire date: Nov 16 03:07:18 2021 GMT
* subjectAltName: host "mail.fcirkutsk.ru" matched cert's "mail.fcirkutsk.ru"
* issuer: C=US; O=Let's Encrypt; CN=R3
* SSL certificate verify ok.
--
С уважением,
Alexander mailto:t...@irk.ru
_______________________________________________
Exim-users mailing list
Exim-...@mailground.net
http://mailground.net/mailman/listinfo/exim-users
Вы писали 5 октября 2021 г., 15:36:35:
> Здравствуйте, Exim-users.
> 2021-10-04 23:59:14 TLS error on connection from mail-out.emea.daimler.com [141.113.1.134] (SSL_accept):
> error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired
> я правильно понимаю что mail-out.emea.daimler.com, выступающий в роли клиента, дропает соединение тк считает что у меня
> просроченный серт?
> а серт с моей стороны вот такой
> * Server certificate:
> * subject: CN=mail.fcirkutsk.ru
> * start date: Aug 18 03:07:20 2021 GMT
> * expire date: Nov 16 03:07:18 2021 GMT
> * subjectAltName: host "mail.fcirkutsk.ru" matched cert's "mail.fcirkutsk.ru"
> * issuer: C=US; O=Let's Encrypt; CN=R3
> * SSL certificate verify ok.
вскрытие показало что той стороне не нравится цепочка
Certificate chain
0 s:/CN=mail.fcirkutsk.ru
i:/C=US/O=Let's Encrypt/CN=R3
1 s:/C=US/O=Let's Encrypt/CN=R3
i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
i:/O=Digital Signature Trust Co./CN=DST Root CA X3
вернее наличие в ней DST Root CA X3
https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/
серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в ней остался. Ручная правка проблему решила.
Но это костыль. Как быть?
On Tue, 05 Oct 2021 at 16:30:47 (+0800), Alexander Titaev wrote:
> вскрытие показало что той стороне не нравится цепочка
> Certificate chain
> 0 s:/CN=mail.fcirkutsk.ru
> i:/C=US/O=Let's Encrypt/CN=R3
> 1 s:/C=US/O=Let's Encrypt/CN=R3
> i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
> 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
> i:/O=Digital Signature Trust Co./CN=DST Root CA X3
> вернее наличие в ней DST Root CA X3
> https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/
> серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в ней остался. Ручная правка проблему решила.
> Но это костыль. Как быть?
Обновить certbot и перевыпустить сертификат с указанием preferred-chain (с) мопед не мой
https://stackoverflow.com/questions/69397845/trust-issue-while-sending-a-post-to-my-api-since-dst-root-ca-x3-expiration
--
George L. Yermulnik
[YZ-RIPE]
Вы писали 5 октября 2021 г., 18:45:57:
> Hello!
> On Tue, 05 Oct 2021 at 16:30:47 (+0800), Alexander Titaev wrote:
>> вскрытие показало что той стороне не нравится цепочка
>> Certificate chain
>> 0 s:/CN=mail.fcirkutsk.ru
>> i:/C=US/O=Let's Encrypt/CN=R3
>> 1 s:/C=US/O=Let's Encrypt/CN=R3
>> i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
>> 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
>> i:/O=Digital Signature Trust Co./CN=DST Root CA X3
>> вернее наличие в ней DST Root CA X3
>> https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/
>> серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в ней остался. Ручная правка проблему решила.
>> Но это костыль. Как быть?
> Обновить certbot и перевыпустить сертификат с указанием preferred-chain (с) мопед не мой
> https://stackoverflow.com/questions/69397845/trust-issue-while-sending-a-post-to-my-api-since-dst-root-ca-x3-expiration
в моем случае помогло обновление
pkg upgrade ca_root_nss
и перевыпуск сертификата
--
С уважением,
Alexander mailto:t...@irk.ru
On Tue, 05 Oct 2021 at 19:15:58 (+0800), Alexander Titaev wrote:
> в моем случае помогло обновление
> pkg upgrade ca_root_nss
> и перевыпуск сертификата
Хм-м, я из устанавливаемых им файлов руками DST Root удалял на днях.
Сейчас специально переустановил и DST Root вернулся (ca_root_nss-3.69_1).
Правда, я порты использую.
--
George L. Yermulnik
[YZ-RIPE]
_______________________________________________
Вы писали 5 октября 2021 г., 19:30:33:
> Hello!
> On Tue, 05 Oct 2021 at 19:15:58 (+0800), Alexander Titaev wrote:
>> в моем случае помогло обновление
>> pkg upgrade ca_root_nss
>> и перевыпуск сертификата
> Хм-м, я из устанавливаемых им файлов руками DST Root удалял на днях.
> Сейчас специально переустановил и DST Root вернулся (ca_root_nss-3.69_1).
> Правда, я порты использую.
да проглядел, надо еще
certbot renew --preferred-chain "ISRG Root X1" --force-renewal
--
С уважением,
Alexander mailto:t...@irk.ru
On Wed, 06 Oct 2021 at 12:55:36 (+0800), Alexander Titaev wrote:
> >> в моем случае помогло обновление
> >> pkg upgrade ca_root_nss
> >> и перевыпуск сертификата
> > Хм-м, я из устанавливаемых им файлов руками DST Root удалял на днях.
> > Сейчас специально переустановил и DST Root вернулся (ca_root_nss-3.69_1).
> > Правда, я порты использую.
> да проглядел, надо еще
> certbot renew --preferred-chain "ISRG Root X1" --force-renewal
Только это и надо (обновить certbot и использовать preferred-chain).
А ca_root_nss - для проверки нами сертификатов remote стороны.
--
George L. Yermulnik
[YZ-RIPE]
_______________________________________________