Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Fetchmail mit SSL

37 views
Skip to first unread message

Carsten Lippert

unread,
Jul 22, 2017, 11:20:03 AM7/22/17
to

Hallo NG,

wenn ich mich streng an die Anleitung unter

https://ssl.nettworks.org/wiki/display/e/Fetchmail+per+SSL

halte und nach Erstellung der Zertifikate ein

/usr/bin/ssl/c_rehash

durchfuehre, erhalte ich nach der Eingabe von z.B.

/var/install/bin/certs-show-chain pop.mail.yahoo.com.pem

trotz korrektem

+->end of chain!

folgendes:

checking certificate chain: pop.xxx.xxx.pem: ...............
error 3 at 0 depth lookup:unable to get certificate CRL

Ist das ein Problem? Eigentlich scheinen alle Abrufe zu funktionieren!

Selbiges gilt fuer allen weiteren Aufrufe, z.B.

/var/install/bin/certs-show-chain pop3.web.de.pem
/var/install/bin/certs-show-chain pop.1und1.de.pem
/var/install/bin/certs-show-chain pop.gmail.com.pem
/var/install/bin/certs-show-chain pop.gmx.net.pem
/var/install/bin/certs-show-chain pop3.live.com.pem
/var/install/bin/certs-show-chain securepop.t-online.de.pem


MfG. Carsten

Marcus Roeckrath

unread,
Jul 22, 2017, 12:00:02 PM7/22/17
to
Hallo Carsten,

Carsten Lippert wrote:

> halte und nach Erstellung der Zertifikate ein
>
> /usr/bin/ssl/c_rehash

Der korrekte Aufruf lautet:

/usr/bin/ssl/c_rehash /usr/local/ssl/certs

> durchfuehre, erhalte ich nach der Eingabe von z.B.
>
> /var/install/bin/certs-show-chain pop.mail.yahoo.com.pem
>
> trotz korrektem
>
> +->end of chain!
>
> folgendes:
>
> checking certificate chain: pop.xxx.xxx.pem: ...............
> error 3 at 0 depth lookup:unable to get certificate CRL

Da steht genau, dass es kein Zertifikatsproblem gibt, sondern die
zugehörigen CRLs fehlen oder veraltet sind.

Mache im certs-Menu ein "Update revocation lists".

Weiterhin:

less /var/cron/etc/root/certs

Läuft der atd?

Gibt es Jobs unter /var/spool/cron/atjobs mit einer letzten Zeile wie

/var/install/bin/certs-update-crl --quiet --single "http://...

Die CRLs werden nämlich über atjobs aktuell gehalten.

--
Gruss Marcus

Carsten Lippert

unread,
Jul 22, 2017, 1:10:02 PM7/22/17
to
Hallo Marcus,

Am 22.07.2017 um 17:56 schrieb Marcus Roeckrath:
> Der korrekte Aufruf lautet:
>
> /usr/bin/ssl/c_rehash /usr/local/ssl/certs
Wenn ich mich aber bereits in dem Verzeichnis befinde, dann sollte doch
/usr/bin/ssl/c_rehash ausreichen?

> Mache im certs-Menu ein "Update revocation lists".
Habe ich bereits mehrmals ausgefuehrt! Es hat sich nichts veraendert.

> Weiterhin:
>
> less /var/cron/etc/root/certs
#------------------------------------------------------------------
# /var/cron/etc/root/certs file generated by certs.sh v1.4.9
#
# Do not edit this file, edit /etc/config.d/certs
# Creation Date: 2017-06-28 Time: 17:26:23
#------------------------------------------------------------------
11 2,14 * * * /var/install/bin/certs-update-crl --quiet --checkall

/var/cron/etc/root/certs (END)

> Läuft der atd?
Ja? Nein? Vielleicht?
> Gibt es Jobs unter /var/spool/cron/atjobs mit einer letzten Zeile wie
>
> /var/install/bin/certs-update-crl --quiet --single "http://...
>
> Die CRLs werden nämlich über atjobs aktuell gehalten.
Ja, reichlich, 85 Stueck.

-- MfG. Carsten

Carsten Lippert

unread,
Jul 22, 2017, 1:10:03 PM7/22/17
to
Hallo Marcus,

Am 22.07.2017 um 17:56 schrieb Marcus Roeckrath:

> Der korrekte Aufruf lautet:
>
> /usr/bin/ssl/c_rehash /usr/local/ssl/certs

Wenn ich mich aber bereits in dem Verzeichnis befinde, dann sollte doch
/usr/bin/ssl/c_rehash ausreichen?

> Mache im certs-Menu ein "Update revocation lists".

Habe ich bereits mehrmals ausgefuehrt! Es hat sich nichts veraendert.

> Weiterhin:
>
> less /var/cron/etc/root/certs

#------------------------------------------------------------------
# /var/cron/etc/root/certs file generated by certs.sh v1.4.9
#
# Do not edit this file, edit /etc/config.d/certs
# Creation Date: 2017-06-28 Time: 17:26:23
#------------------------------------------------------------------
11 2,14 * * * /var/install/bin/certs-update-crl --quiet --checkall

/var/cron/etc/root/certs (END)

> Läuft der atd?

Ja? Nein? Vielleicht?

> Gibt es Jobs unter /var/spool/cron/atjobs mit einer letzten Zeile wie
>
> /var/install/bin/certs-update-crl --quiet --single "http://...
>
> Die CRLs werden nämlich über atjobs aktuell gehalten.

Marcus Roeckrath

unread,
Jul 22, 2017, 1:40:01 PM7/22/17
to
Hallo Carsten,

Carsten Lippert wrote:

>> Mache im certs-Menu ein "Update revocation lists".
>
> Habe ich bereits mehrmals ausgefuehrt! Es hat sich nichts veraendert.

Ok, nicht gut.

>> less /var/cron/etc/root/certs
>
> #------------------------------------------------------------------
> # /var/cron/etc/root/certs file generated by certs.sh v1.4.9
> #
> # Do not edit this file, edit /etc/config.d/certs
> # Creation Date: 2017-06-28 Time: 17:26:23
> #------------------------------------------------------------------
> 11 2,14 * * * /var/install/bin/certs-update-crl --quiet --checkall

Wieso zweimal täglich?

Standard ist einmal pro Woche: 11 2 * * 1

Die Aktualisierung leisten die atjobs, der cron-Job macht eine
Korrektur/Bereinigung.

Wenn ein atjob und der Komplettlauf aufeinanderstossen, können die sich auch
al ins Gehege kommen; also mach den cronjob seltener.

>> Läuft der atd?
>
> Ja? Nein? Vielleicht?

/etc/init.d/atd status

>> Gibt es Jobs unter /var/spool/cron/atjobs mit einer letzten Zeile wie
>>
>> /var/install/bin/certs-update-crl --quiet --single "http://...
>>
>> Die CRLs werden nämlich über atjobs aktuell gehalten.
>
> Ja, reichlich, 85 Stueck.

atq

Die sollten alle in der Zukunft liegen.

--
Gruss Marcus

Carsten Lippert

unread,
Jul 22, 2017, 2:10:01 PM7/22/17
to
Hallo Marcus,

Am 22.07.2017 um 19:36 schrieb Marcus Roeckrath:

>>> Mache im certs-Menu ein "Update revocation lists".
>>
>> Habe ich bereits mehrmals ausgefuehrt! Es hat sich nichts veraendert.
>
> Ok, nicht gut.

???

>> #------------------------------------------------------------------
>> # /var/cron/etc/root/certs file generated by certs.sh v1.4.9
>> #
>> # Do not edit this file, edit /etc/config.d/certs
>> # Creation Date: 2017-06-28 Time: 17:26:23
>> #------------------------------------------------------------------
>> 11 2,14 * * * /var/install/bin/certs-update-crl --quiet --checkall
>
> Wieso zweimal täglich?

Keine Ahnung, werde ich schon eingetragen haben, sicherlich aber auf
Grund einer Anleitung.

> Standard ist einmal pro Woche: 11 2 * * 1
> ... also mach den cronjob seltener.

Ist korrigiert!

>>> Läuft der atd?
> /etc/init.d/atd status

Ja

> atq
>
> Die sollten alle in der Zukunft liegen.

Korrekt

--
MfG. Carsten

Marcus Roeckrath

unread,
Jul 22, 2017, 2:40:01 PM7/22/17
to
Hallo Carsten,

Carsten Lippert wrote:

>>>> Mache im certs-Menu ein "Update revocation lists".
>>>
>>> Habe ich bereits mehrmals ausgefuehrt! Es hat sich nichts veraendert.
>>
>> Ok, nicht gut.
>
> ???

cd /var/spool/exim/log
xzgrep "certificate CRL" *

PS: Die Meldung kann IMHO nur beim Versand nach extern auftreten und hat mit
dem Abruf von Mails beim Provider nichts zu tun.

--
Gruss Marcus

Carsten Lippert

unread,
Jul 22, 2017, 3:00:02 PM7/22/17
to
Hallo Marcus,

Am 22.07.2017 um 20:39 schrieb Marcus Roeckrath:

> cd /var/spool/exim/log
> xzgrep "certificate CRL" *
>
> PS: Die Meldung kann IMHO nur beim Versand nach extern auftreten und hat mit
> dem Abruf von Mails beim Provider nichts zu tun.

Ausgabe auszugsweise:

mainlog:2017-07-19 11:29:48 1dXlIV-0001Vj-PX [212.227.15.183] SSL verify
error: depth=0 error=unable to get certificate CRL cert=/C=DE/O=1&1
Internet SE/ST=Rheinland-Pfalz/L=Montabaur/CN=smtp.1und1.de

mainlog.1.xz:2017-07-07 14:06:55 1dShcZ-00027h-1R [212.227.15.167] SSL
verify error: depth=0 error=unable to get certificate CRL
cert=/C=DE/O=1&1 Internet SE/ST=Rheinland-Pfalz/L=Montabaur/CN=smtp.1und1.de

mainlog.1.xz:2017-07-07 14:06:55 1dShcZ-00027h-1R [212.227.15.167] SSL
verify error: depth=1 error=unable to get certificate CRL
cert=/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust
Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/street=Untere
Industriestr. 20/CN=TeleSec ServerPass DE-2

mainlog.2.xz:2017-06-26 17:18:12 1dOPVM-0001bk-Eu [212.227.15.167] SSL
verify error: depth=2 error=unable to get certificate CRL
cert=/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche
Telekom Root CA 2

mainlog.3.xz:2017-06-14 16:17:14 1dL96f-00069A-R0 [212.227.15.167] SSL
verify error: depth=0 error=unable to get certificate CRL
cert=/C=DE/O=1&1 Internet SE/ST=Rheinland-Pfalz/L=Montabaur/CN=smtp.1und1.de

--
MfG. Carsten

Marcus Roeckrath

unread,
Jul 22, 2017, 3:30:01 PM7/22/17
to
Hallo Carsten,

Carsten Lippert wrote:

>> cd /var/spool/exim/log
>> xzgrep "certificate CRL" *
>>
> Ausgabe auszugsweise:
>
> mainlog:2017-07-19 11:29:48 1dXlIV-0001Vj-PX [212.227.15.183] SSL verify
> error: depth=0 error=unable to get certificate CRL cert=/C=DE/O=1&1
> Internet SE/ST=Rheinland-Pfalz/L=Montabaur/CN=smtp.1und1.de
>
> mainlog.1.xz:2017-07-07 14:06:55 1dShcZ-00027h-1R [212.227.15.167] SSL
> verify error: depth=0 error=unable to get certificate CRL
> cert=/C=DE/O=1&1 Internet
> SE/ST=Rheinland-Pfalz/L=Montabaur/CN=smtp.1und1.de
>
> mainlog.1.xz:2017-07-07 14:06:55 1dShcZ-00027h-1R [212.227.15.167] SSL
> verify error: depth=1 error=unable to get certificate CRL
> cert=/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust
> Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/street=Untere
> Industriestr. 20/CN=TeleSec ServerPass DE-2
>
> mainlog.2.xz:2017-06-26 17:18:12 1dOPVM-0001bk-Eu [212.227.15.167] SSL
> verify error: depth=2 error=unable to get certificate CRL
> cert=/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche
> Telekom Root CA 2
>
> mainlog.3.xz:2017-06-14 16:17:14 1dL96f-00069A-R0 [212.227.15.167] SSL
> verify error: depth=0 error=unable to get certificate CRL
> cert=/C=DE/O=1&1 Internet
> SE/ST=Rheinland-Pfalz/L=Montabaur/CN=smtp.1und1.de

Tritt also nur sporadisch auf, kann gut sein, dass gerade in diesem Moment
ein benötigtes CRL abgelaufen war und aber danach noch aktualisiert wurde;
oder die Aktualisierung von CRLs lief gerade, währenddessen auch neue
Hashes erzeugt werden.

Versuche nochmal

/var/install/bin/certs-show-chain pop.mail.yahoo.com.pem

aus deinem Ausgangspost, villeicht hat es sich ja erledigt.

--
Gruss Marcus

Carsten Lippert

unread,
Jul 22, 2017, 4:12:27 PM7/22/17
to
Hallo Marcus,

Am 22.07.17 9:22 nachm., schrieb Marcus Roeckrath:
Werde ich morgen machen.
Erfolg oder Misserfolg poste ich dann. Danke für Deine Hilfe!

MfG. Carsten

Carsten Lippert

unread,
Jul 24, 2017, 11:10:01 AM7/24/17
to
Hallo Marcus,

Am 22.07.2017 um 21:22 schrieb Marcus Roeckrath:

> Versuche nochmal
>
> /var/install/bin/certs-show-chain pop.mail.yahoo.com.pem
>
> aus deinem Ausgangspost, villeicht hat es sich ja erledigt.
>

Leider nein. Wie kann ich die Ausgabe in eine Textdatei umleiten,
copy & paste funktioniert nicht.
Ich wuerde sie hier gerne komplett einmal posten.

--
MfG. Carsten

Marcus Roeckrath

unread,
Jul 24, 2017, 11:20:01 AM7/24/17
to
Hallo Carsten,

Carsten Lippert wrote:

>> Versuche nochmal
>>
>> /var/install/bin/certs-show-chain pop.mail.yahoo.com.pem
>>
>> aus deinem Ausgangspost, villeicht hat es sich ja erledigt.
>>
>
> Leider nein. Wie kann ich die Ausgabe in eine Textdatei umleiten,
> copy & paste funktioniert nicht.
> Ich wuerde sie hier gerne komplett einmal posten.

/var/install/bin/certs-show-chain --nogui pop.mail.yahoo.com.pem > ausgabe

ausgabe ist eine Datei inklusive Pfad deiner Wahl.

--
Gruss Marcus

Carsten Lippert

unread,
Jul 24, 2017, 11:50:02 AM7/24/17
to
Hallo Marcus,

Am 24.07.2017 um 17:18 schrieb Marcus Roeckrath:
>
> /var/install/bin/certs-show-chain --nogui pop.mail.yahoo.com.pem > ausgabe
>
> ausgabe ist eine Datei inklusive Pfad deiner Wahl.


Danke, hier die Ausgabe:
------------------------------------------------------------------------
Show certificate chain (run as 'root')
*
| certificate : pop.mail.yahoo.com.pem (6b393e71)
| subject : /C=US/ST=California/L=Sunnyvale/O=Yahoo
Inc./OU=Information Technology/CN=legacy.pop.mail.yahoo.com
| issuer : /C=US/O=Symantec Corporation/OU=Symantec Trust
Network/CN=Symantec Class 3 Secure Server CA - G4
| MD5 f-print : 5D:46:DA:B8:25:53:76:55:93:40:EF:7F:2F:0E:3E:ED
| SHA1 f-print: 7A:87:0B:69:58:8C:9F:C1:D7:1A:D7:60:4D:3D:19:6B:7E:7B:5E:F7
|
+->| certificate : Symantec_Class_3_Secure_Server_CA_-_G4.pem (7d9c641e)
| subject : /C=US/O=Symantec Corporation/OU=Symantec Trust
Network/CN=Symantec Class 3 Secure Server CA - G4
| issuer : /C=US/O=VeriSign, Inc./OU=VeriSign Trust
Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign
Class 3 Public Primary Certification Authority - G5
| MD5 f-print : 23:D5:85:8E:BC:89:86:10:7C:B7:AC:1E:17:F7:26:C5
| SHA1 f-print:
FF:67:36:7C:5C:D4:DE:4A:E1:8B:CC:E1:D7:0F:DA:BD:7C:86:61:35
|
+->| certificate :
verisign_class_3_public_primary_certification_authority_-_g5.pem (b204d74a)
| subject : /C=US/O=VeriSign, Inc./OU=VeriSign Trust
Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign
Class 3 Public Primary Certification Authority - G5
| issuer : /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary
Certification Authority
| MD5 f-print : F9:1F:FE:E6:A3:6B:99:88:41:D4:67:DD:E5:F8:97:7A
| SHA1 f-print:
32:F3:08:82:62:2B:87:CF:88:56:C6:3D:B8:73:DF:08:53:B4:DD:27
|
+-> Error: file '/usr/local/ssl/certs/415660c1.0' missing!

checking certificate chain: pop.mail.yahoo.com.pem: C = US, O =
"VeriSign, Inc.", OU = VeriSign Trust Network, OU = "(c) 2006 VeriSign,
Inc. - For authorized use only", CN = VeriSign Class 3 Public Primary
Certification Authority - G5
error 2 at 2 depth lookup:unable to get issuer certificate
-----------------------------------------------------------------------

415660c1.0 kann ich tatsaechlich nicht finden.

--
MfG. Carsten

Marcus Roeckrath

unread,
Jul 24, 2017, 1:10:03 PM7/24/17
to
Hallo Carsten,

Carsten Lippert wrote:

> +->| certificate :
> verisign_class_3_public_primary_certification_authority_-_g5.pem
> (b204d74a)
> | subject : /C=US/O=VeriSign, Inc./OU=VeriSign Trust
> Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign
> Class 3 Public Primary Certification Authority - G5
> | issuer : /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary
> Certification Authority

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

> | MD5 f-print : F9:1F:FE:E6:A3:6B:99:88:41:D4:67:DD:E5:F8:97:7A
> | SHA1 f-print:
> 32:F3:08:82:62:2B:87:CF:88:56:C6:3D:B8:73:DF:08:53:B4:DD:27
> |
> +-> Error: file '/usr/local/ssl/certs/415660c1.0' missing!

Die Kette ist unvollständig.

Lies https://ssl.nettworks.org/wiki/pages/viewpage.action?pageId=19824666,
um das gesuchte Zertifikat im Netz zu finden.

> 415660c1.0 kann ich tatsaechlich nicht finden.

Das ist der Hash-Link des gesuchten Zertifikates, darunter wirst Du es im
Netz nicht finden; nimm den angegebenen Wikieintrag.

--
Gruss Marcus

Marcus Roeckrath

unread,
Jul 24, 2017, 1:30:02 PM7/24/17
to
Hallo Carsten,

Marcus Roeckrath wrote:

>> +-> Error: file '/usr/local/ssl/certs/415660c1.0' missing!
>
> Die Kette ist unvollständig.
>
> Lies https://ssl.nettworks.org/wiki/pages/viewpage.action?pageId=19824666,
> um das gesuchte Zertifikat im Netz zu finden.
>
>> 415660c1.0 kann ich tatsaechlich nicht finden.
>
> Das ist der Hash-Link des gesuchten Zertifikates, darunter wirst Du es im
> Netz nicht finden; nimm den angegebenen Wikieintrag.

Könnte auf dieser Seite zu finden sein:

https://www.symantec.com/page.jsp%3Fid%3Droots

und zwar möglicherweise diexses hier: VeriSign Class 3 Public PCA - G1.5

--
Gruss Marcus

Marcus Roeckrath

unread,
Jul 24, 2017, 1:40:01 PM7/24/17
to
Oder vielleicht dieses?

https://www.tbs-certificates.co.uk/FAQ/en/30.html

--
Gruss Marcus

Carsten Lippert

unread,
Jul 24, 2017, 2:50:01 PM7/24/17
to
Hallo Marcus,
Hier die Lösung, es fehlte VeriSign_Class_3_Public_Primary_CA.pem.

Das ist aber auch wirklich tricky.


--------------------------------------------------------------------------
Show certificate chain (run as 'root')
*
| certificate : pop.mail.yahoo.com.pem (6b393e71)
| subject : /C=US/ST=California/L=Sunnyvale/O=Yahoo
Inc./OU=Information Technology/CN=legacy.pop.mail.yahoo.com
| issuer : /C=US/O=Symantec Corporation/OU=Symantec Trust
Network/CN=Symantec Class 3 Secure Server CA - G4
| MD5 f-print : 5D:46:DA:B8:25:53:76:55:93:40:EF:7F:2F:0E:3E:ED
| SHA1 f-print: 7A:87:0B:69:58:8C:9F:C1:D7:1A:D7:60:4D:3D:19:6B:7E:7B:5E:F7
|
+->| certificate : Symantec_Class_3_Secure_Server_CA_-_G4.pem (7d9c641e)
| subject : /C=US/O=Symantec Corporation/OU=Symantec Trust
Network/CN=Symantec Class 3 Secure Server CA - G4
| issuer : /C=US/O=VeriSign, Inc./OU=VeriSign Trust
Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign
Class 3 Public Primary Certification Authority - G5
| MD5 f-print : 23:D5:85:8E:BC:89:86:10:7C:B7:AC:1E:17:F7:26:C5
| SHA1 f-print:
FF:67:36:7C:5C:D4:DE:4A:E1:8B:CC:E1:D7:0F:DA:BD:7C:86:61:35
|
+->| certificate :
verisign_class_3_public_primary_certification_authority_-_g5.pem (b204d74a)
| subject : /C=US/O=VeriSign, Inc./OU=VeriSign Trust
Network/OU=(c) 2006 VeriSign, Inc. - For authorized use only/CN=VeriSign
Class 3 Public Primary Certification Authority - G5
| issuer : /C=US/O=VeriSign, Inc./OU=Class 3 Public Primary
Certification Authority
| MD5 f-print : F9:1F:FE:E6:A3:6B:99:88:41:D4:67:DD:E5:F8:97:7A
| SHA1 f-print:
32:F3:08:82:62:2B:87:CF:88:56:C6:3D:B8:73:DF:08:53:B4:DD:27
|
+->| certificate : VeriSign_Class_3_Public_Primary_CA.pem (415660c1)
| subject : /C=US/O=VeriSign, Inc./OU=Class 3 Public
Primary Certification Authority
| issuer : /C=US/O=VeriSign, Inc./OU=Class 3 Public
Primary Certification Authority
| MD5 f-print : EF:5A:F1:33:EF:F1:CD:BB:51:02:EE:12:14:4B:96:C4
| SHA1 f-print:
A1:DB:63:93:91:6F:17:E4:18:55:09:40:04:15:C7:02:40:B0:AE:6B
|
+-> end of chain!

checking certificate chain: pop.mail.yahoo.com.pem: C = US, ST =
California, L = Sunnyvale, O = Yahoo Inc., OU = Information Technology,
CN = legacy.pop.mail.yahoo.com
error 3 at 0 depth lookup:unable to get certificate CRL
-------------------------------------------------------------------------

Danke fuer die wertvollen Informationen.

--
MfG. Carsten

Marcus Roeckrath

unread,
Jul 24, 2017, 3:00:03 PM7/24/17
to
Hallo Carsten,

Carsten Lippert wrote:

>> Könnte auf dieser Seite zu finden sein:
>>
>> https://www.symantec.com/page.jsp%3Fid%3Droots
>>
>> und zwar möglicherweise diexses hier: VeriSign Class 3 Public PCA - G1.5
>
> Hier die Lösung, es fehlte VeriSign_Class_3_Public_Primary_CA.pem.
>
> Das ist aber auch wirklich tricky.

Also das von mir vermutete (s. o.)?

> checking certificate chain: pop.mail.yahoo.com.pem: C = US, ST =
> California, L = Sunnyvale, O = Yahoo Inc., OU = Information Technology,
> CN = legacy.pop.mail.yahoo.com
> error 3 at 0 depth lookup:unable to get certificate CRL

Nun noch ein "Update revocation lists".

> Danke fuer die wertvollen Informationen.

Bitte.

--
Gruss Marcus

Marcus Roeckrath

unread,
Jul 24, 2017, 4:40:01 PM7/24/17
to
Hallo Carsten,

Carsten Lippert wrote:

> | certificate : pop.mail.yahoo.com.pem (6b393e71)

Bitte poste mal, mit welchem Namen und Ports du die yahoo-Server in der
Fetchmail und Smarthost Konfiguration des mail-Paketes eingetragen hast.

--
Gruss Marcus

Carsten Lippert

unread,
Jul 25, 2017, 11:10:02 AM7/25/17
to
Hallo Marcus,

Am 24.07.2017 um 20:54 schrieb Marcus Roeckrath:

> Also das von mir vermutete (s. o.)?

Nein, sondern "nur" VeriSign_Class_3_Public_Primary_CA, ohne Zusatz.

--
MfG. Carsten

Carsten Lippert

unread,
Jul 25, 2017, 11:20:01 AM7/25/17
to
Hallo Marcus,

Am 24.07.2017 um 22:34 schrieb Marcus Roeckrath:

> Bitte poste mal, mit welchem Namen und Ports du die yahoo-Server in der
> Fetchmail und Smarthost Konfiguration des mail-Paketes eingetragen hast.

Gerne,

FETCHMAIL_4_SERVER='pop.mail.yahoo.com'
FETCHMAIL_4_PROTOCOL='pop3'
FETCHMAIL_4_PORT='995'
FETCHMAIL_4_SSL_PROTOCOL='auto'
FETCHMAIL_4_SSL_TRANSPORT='yes'


Ich habe

SMTP_SMARTHOST_ONE_FOR_ALL='yes'

eingetragen und sende alles ueber smtp.1und1.de.

--
MfG. Carsten

Marcus Roeckrath

unread,
Jul 25, 2017, 12:40:02 PM7/25/17
to
Hallo Carsten,

Carsten Lippert wrote:

>> Bitte poste mal, mit welchem Namen und Ports du die yahoo-Server in der
>> Fetchmail und Smarthost Konfiguration des mail-Paketes eingetragen hast.
>
> Gerne,
>
> FETCHMAIL_4_SERVER='pop.mail.yahoo.com'
> FETCHMAIL_4_PROTOCOL='pop3'
> FETCHMAIL_4_PORT='995'
> FETCHMAIL_4_SSL_PROTOCOL='auto'
> FETCHMAIL_4_SSL_TRANSPORT='yes'

Danke, hast Du das Zertifikat manuell oder durch mail-addon-certs bzw. das
certs-Paket heruntergeladen?

--
Gruss Marcus

Carsten Lippert

unread,
Jul 25, 2017, 1:40:01 PM7/25/17
to
Hallo Marcus,

Am 25.07.2017 um 18:33 schrieb Marcus Roeckrath:

> Danke, hast Du das Zertifikat manuell oder durch mail-addon-certs bzw. das
> certs-Paket heruntergeladen?

Manuell, nach /usr/local/ssl/certs kopiert und rehash durchgefuehrt...


Der Mailabruf von Yahoo funktioniert jetzt wieder, aber nun habe ich
auch ein Problem mit Microsoft.

Hier die Mail von heute 19.06 Uhr:
------------------------------------------------------------------------
fetchmail: Server certificate verification error: unable to get issuer
certificate
fetchmail: Broken certification chain at: /C=US/O=DigiCert
Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
fetchmail: This could mean that the server did not provide the
intermediate CA's certificate(s), which is nothing fetchmail could do
anything about. For details, please see the README.SSL-SERVER document
that ships with fetchmail.
fetchmail: This could mean that the root CA's signing certificate is not
in the trusted CA certificate location, or that c_rehash needs to be run
on the certificate directory. For details, please see the documentation
of --sslcertpath and --sslcertfile in the manual page.
fetchmail: OpenSSL reported: error:14090086:SSL
routines:ssl3_get_server_certificate:certificate verify failed
fetchmail: SSL connection failed.
fetchmail: socket error while fetching from
meine_ema...@hotmail.com@pop-mail.outlook.com
fetchmail: Query status=2 (SOCKET)

Please check and fix problem manually
-----------------------------------------------------------------------

Ich habe jetzt die Zertifikate nochmals mit

openssl s_client -connect pop-mail.outlook.com:995 -showcerts geholt,

die entsprechenden *,pem - Dateien erstellt, diese nach
/usr/local/ssl/certs/ kopiert, einen rehash durchgefuert und mit

/var/install/bin/certs-show-chain pop-mail.outlook.com.pem die
Zertifikatskette überprueft.


Hier der die Ausgabe von ca. 19.20 Uhr:
-----------------------------------------------------------------------
Show certificate chain (run as 'root')
*
| certificate : pop-mail.outlook.com.pem (2a4c3263)
| subject : /C=US/ST=Washington/L=Redmond/O=Microsoft
Corporation/CN=*.hotmail.com
| issuer : /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization
Validation CA - SHA256 - G2
| MD5 f-print : C6:4E:A5:E3:5F:E4:EC:25:FA:09:9A:A5:2D:5E:AA:E8
| SHA1 f-print: D6:FE:67:C7:10:F4:EF:76:86:74:02:B2:71:30:CE:32:2B:54:B1:E4
|
+->| certificate :
GlobalSign_Organization_Validation_CA_-_SHA256_-_G2.pem (b85455c4)
| subject : /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Organization
Validation CA - SHA256 - G2
| issuer : /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
| MD5 f-print : D3:E8:70:6D:82:92:AC:E4:DD:EB:F7:A8:BB:BD:56:6B
| SHA1 f-print:
90:2E:F2:DE:EB:3C:5B:13:EA:4C:3D:51:93:62:93:09:E2:31:AE:55
|
+->| certificate : globalsign_root_ca.pem (5ad8a5d6)
| subject : /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign
Root CA
| issuer : /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign
Root CA
| MD5 f-print : 3E:45:52:15:09:51:92:E1:B7:5D:37:9F:B1:87:29:8A
| SHA1 f-print:
B1:BC:96:8B:D4:F4:9D:62:2A:A8:9A:81:F2:15:01:52:A4:1D:82:9C
|
+-> end of chain!

checking certificate chain: pop-mail.outlook.com.pem: OK
--------------------------------------------------------------------

Sollte doch ok sein?

--
MfG. Carsten

Marcus Roeckrath

unread,
Jul 25, 2017, 2:40:02 PM7/25/17
to
Hallo Carsten,

Carsten Lippert wrote:

> Ich habe jetzt die Zertifikate nochmals mit
>
> openssl s_client -connect pop-mail.outlook.com:995 -showcerts geholt,

Du kannst dazu auch ein Skript aus dem certs-Paket bemühen:

/var/install/bin/certs-request-cert --writecert --replace pop3
pop-mail.outlook.com 995

Das legt das Serverzertifikat und eventuell enthaltene Zwischenzertifikate
im certs-Verzeichnis ab und rehashed.

Spart dir also jede Menge manueller Arbeit.

> Show certificate chain (run as 'root')
> *
> | certificate : pop-mail.outlook.com.pem (2a4c3263)
>
> +-> end of chain!
>
> Sollte doch ok sein?

Ja.

Eventuell empfiehlt sich ein "Update revocation lists".

--
Gruss Marcus

Marcus Roeckrath

unread,
Jul 30, 2017, 5:00:01 AM7/30/17
to
Hallo Carsten,

Carsten Lippert wrote:

> checking certificate chain: pop.xxx.xxx.pem: ...............
> error 3 at 0 depth lookup:unable to get certificate CRL

Wenn das nochmal auftritt, bitte zeitnah kontrollieren, ob in

/var/certs/ssl/certs

Dateien mit der Endung .r0 bzw. .r1 vorhanden sind.

--
Gruss Marcus

Carsten Lippert

unread,
Jul 30, 2017, 7:14:57 AM7/30/17
to
Hallo Marcus,

Am 30.07.17 10:53 vorm., schrieb Marcus Roeckrath:
Werde ich machen.
Zum Verständnis, was hätte es mit diesen Dateien auf sich?

MfG. Carsten


MfG. Carsten

Marcus Roeckrath

unread,
Jul 30, 2017, 7:30:01 AM7/30/17
to
Hallo Carsten,

Carsten Lippert wrote:

>>Wenn das nochmal auftritt, bitte zeitnah kontrollieren, ob in
>>
>>/var/certs/ssl/certs
>>
>>Dateien mit der Endung .r0 bzw. .r1 vorhanden sind.
>
> Werde ich machen.
> Zum Verständnis, was hätte es mit diesen Dateien auf sich?

<hash>.r? sind die Links auf die CRL-Pems, die sich in /var/certs/ssl/crl
und in /var/certs/ssl/certs befinden.

Ein c_rehash <certs-Verzeichnis> löscht alle Hash-Files
in /var/certs/ssl/certs, legt aber nur die Hashes auf die <cert>.pems neu
an.

Es fehlen also danach die Hash-Links auf die CRLs bis ein at-Job auch dieses
Hashes neu erzeugt.

Ein manueller c_rehash Aufruf ist also derzeit suboptimal; ich habe Jürgen
darüber informiert.

Bis zur Lösung ist ein manueller rehash also derzeit folgendermaßen
durchzuführen:

/usr/bin/ssl/c_rehash /var/certs/ssl/certs
/var/install/bin/certs.sh --copycrlhashes

--
Gruss Marcus
0 new messages