postfix kann Zertifikat von mail.gmx.net nicht verifizieren
Sven Joachim
folgendes in /var/log/mail.log:
,----
| Apr 13 16:22:53 turtle postfix/smtp[1972]: setting up TLS connection to mail.gmx.net[213.165.64.21]:587
| Apr 13 16:22:53 turtle postfix/smtp[1972]: certificate verification failed for mail.gmx.net[213.165.64.21]:587: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium...@thawte.com
| Apr 13 16:22:53 turtle postfix/smtp[1972]: Untrusted TLS connection established to mail.gmx.net[213.165.64.21]:587: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
| Apr 13 16:22:53 turtle postfix/smtp[1972]: 88EFF3F328: Server certificate not trusted
| Apr 13 16:22:53 turtle postfix/smtp[1972]: setting up TLS connection to mail.gmx.net[213.165.64.20]:587
| Apr 13 16:22:53 turtle postfix/smtp[1972]: certificate verification failed for mail.gmx.net[213.165.64.20]:587: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium...@thawte.com
| Apr 13 16:22:53 turtle postfix/smtp[1972]: Untrusted TLS connection established to mail.gmx.net[213.165.64.20]:587: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
| Apr 13 16:22:53 turtle postfix/smtp[1972]: 88EFF3F328: to=<620...@bugs.debian.org>, relay=mail.gmx.net[213.165.64.20]:587, delay=2.4, delays=0.3/0.87/1.2/0, dsn=4.7.5, status=deferred (Server certificate not trusted)
`----
Dies liegt offenbar daran, dass postfix jetzt gegen libssl1.0.0 gelinkt
ist, ebenso wie openssl:
,----
| $ openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -connect mail.gmx.net:587
| CONNECTED(00000003)
| depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
| verify error:num=20:unable to get local issuer certificate
| verify return:1
| depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
| verify error:num=27:certificate not trusted
| verify return:1
| depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
| verify error:num=21:unable to verify the first certificate
| verify return:1
`----
Mit der Squeeze-Version von openssl, die gegen libssl0.9.8 gelinkt ist,
gibt es keine solchen Probleme:
,----
| $ ./openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -connect mail.gmx.net:587
| CONNECTED(00000003)
| depth=1 /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium...@thawte.com
| verify return:1
| depth=0 /C=DE/ST=Bayern/L=Munich/O=GMX GmbH/CN=mail.gmx.net
| verify return:1
`----
Irgendein SSL-Guru hier, der das erklären kann? Brauche ich ein neueres
Zertifikat, und wenn ja wie bekomme ich es? Das ca-certificates-Paket
ist ja seit Juli 2009 nicht mehr aktualisiert worden. :-(
Vorerst habe ich postfix auf 2.8.2-1 deaktualisiert, denn Mails
verzögert auszuliefern ist unschön.
Sven
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)
Archive: http://lists.debian.org/871v16t...@turtle.gmx.de
Sven Hartge
> ,----
> | $ openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -connect mail.gmx.net:587
> | CONNECTED(00000003)
> | depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
> | verify error:num=20:unable to get local issuer certificate
> | verify return:1
> | depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
> | verify error:num=27:certificate not trusted
> | verify return:1
> | depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
> | verify error:num=21:unable to verify the first certificate
> | verify return:1
> `----
> Irgendein SSL-Guru hier, der das erklären kann? Brauche ich ein
> neueres Zertifikat, und wenn ja wie bekomme ich es? Das
> ca-certificates-Paket ist ja seit Juli 2009 nicht mehr aktualisiert
> worden. :-(
Nein, du brauchst kein neues Zertifikat.
Eigentlich kann man diese deine Mail so direkt in einen Bug-Report
einwerfen, sofern noch keiner existiert.
S°
--
Sigmentation fault. Core dumped.
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)
Archive: http://lists.debian.org/77p7f9...@mids.svenhartge.de
Sven Joachim
> Sven Joachim <sven...@gmx.de> wrote:
>
>> ,----
>> | $ openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -connect mail.gmx.net:587
>> | CONNECTED(00000003)
>> | depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
>> | verify error:num=20:unable to get local issuer certificate
>> | verify return:1
>> | depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
>> | verify error:num=27:certificate not trusted
>> | verify return:1
>> | depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
>> | verify error:num=21:unable to verify the first certificate
>> | verify return:1
>> `----
>
>> Irgendein SSL-Guru hier, der das erklären kann? Brauche ich ein
>> neueres Zertifikat, und wenn ja wie bekomme ich es? Das
>> ca-certificates-Paket ist ja seit Juli 2009 nicht mehr aktualisiert
>> worden. :-(
>
> Nein, du brauchst kein neues Zertifikat.
Ja, Verbindungen mit anderen Servern ergeben den gleichen Fehler, oder
zumindest error 19 (self signed certificate in certificate chain).
> Eigentlich kann man diese deine Mail so direkt in einen Bug-Report
> einwerfen, sofern noch keiner existiert.
Ich habe einen aufgemacht: http://bugs.debian.org/622679.
Sven
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)
Sven Hartge
>>> Eigentlich kann man diese deine Mail so direkt in einen Bug-Report
>>> einwerfen, sofern noch keiner existiert.
>> Ich habe einen aufgemacht: http://bugs.debian.org/622679.
> Wo ich das jetzt gerade sehe, könnte das http://bugs.debian.org/611102
> sein?
Korrektur: kann nicht nur, ist sogar.
S°
--
Sigmentation fault. Core dumped.
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)
Archive: http://lists.debian.org/97p7j8...@mids.svenhartge.de
Sven Hartge
> Am 13.04.2011 um 20:36 schrieb Sven Hartge:
>> Eigentlich kann man diese deine Mail so direkt in einen Bug-Report
>> einwerfen, sofern noch keiner existiert.
> Ich habe einen aufgemacht: http://bugs.debian.org/622679.
Wo ich das jetzt gerade sehe, könnte das http://bugs.debian.org/611102
sein?
S°
--
Sigmentation fault. Core dumped.
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)
Archive: http://lists.debian.org/87p7j5...@mids.svenhartge.de
Sven Hartge
> Sven Hartge <sv...@svenhartge.de> wrote:
>> Sven Joachim <sven...@gmx.de> wrote:
>>> Am 13.04.2011 um 20:36 schrieb Sven Hartge:
>>>> Eigentlich kann man diese deine Mail so direkt in einen Bug-Report
>>>> einwerfen, sofern noch keiner existiert.
>>> Ich habe einen aufgemacht: http://bugs.debian.org/622679.
>> Wo ich das jetzt gerade sehe, könnte das http://bugs.debian.org/611102
>> sein?
> Korrektur: kann nicht nur, ist sogar.
Addendum:
> openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -connect mail.gmx.net:587
CONNECTED(00000003)
depth=1 C = ZA, ST = Western Cape, L = Cape Town, O = Thawte Consulting cc, OU = Certification Services Division, CN = Thawte Premium Server CA, emailAddress = premium...@thawte.com
verify return:1
depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
verify return:1
S°
--
Sigmentation fault. Core dumped.
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)
Archive: http://lists.debian.org/a7p7j9...@mids.svenhartge.de
Paul Muster
> Sven Hartge <sv...@svenhartge.de> wrote:
>> Sven Hartge <sv...@svenhartge.de> wrote:
>>> Sven Joachim <sven...@gmx.de> wrote:
>>>> Ich habe einen aufgemacht: http://bugs.debian.org/622679.
>
>>> Wo ich das jetzt gerade sehe, könnte das http://bugs.debian.org/611102
>>> sein?
>
>> Korrektur: kann nicht nur, ist sogar.
>
> Addendum:
>
>> openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -connect mail.gmx.net:587
> CONNECTED(00000003)
> depth=1 C = ZA, ST = Western Cape, L = Cape Town, O = Thawte Consulting cc, OU = Certification Services Division, CN = Thawte Premium Server CA, emailAddress = premium...@thawte.com
> verify return:1
> depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
> verify return:1
Äh, ja, hm, ich dachte, ich kenne mich ein bisschen mit dem Kram aus...
Aber was sagt uns das, was du da zitierst?
mfG Paul
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)
Archive: http://lists.debian.org/nmch78-...@news.muster.de1.cc
Sven Hartge
> On 13.04.2011 21:43, Sven Hartge wrote:
>> Sven Hartge <sv...@svenhartge.de> wrote:
>>> Sven Hartge <sv...@svenhartge.de> wrote:
>>>> Sven Joachim <sven...@gmx.de> wrote:
>>>>> Ich habe einen aufgemacht: http://bugs.debian.org/622679.
>>
>>>> Wo ich das jetzt gerade sehe, könnte das http://bugs.debian.org/611102
>>>> sein?
>>
>>> Korrektur: kann nicht nur, ist sogar.
>>
>> Addendum:
>>
>>> openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -connect mail.gmx.net:587
>> CONNECTED(00000003)
>> depth=1 C = ZA, ST = Western Cape, L = Cape Town, O = Thawte Consulting cc, OU = Certification Services Division, CN = Thawte Premium Server CA, emailAddress = premium...@thawte.com
>> verify return:1
>> depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
>> verify return:1
> Äh, ja, hm, ich dachte, ich kenne mich ein bisschen mit dem Kram aus...
> Aber was sagt uns das, was du da zitierst?
Das es funktioniert, im Gegensatz zu vorher.
S°
--
Sigmentation fault. Core dumped.
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)
Archive: http://lists.debian.org/b7p7n2...@mids.svenhartge.de