OpenSSL berichtete: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

[Lord_Icon]

Hi,

ich kann eines meiner Postfächer nicht mehr abholen.

In den Logs sehe ich hierzu:

Jun 16 20:28:28 mail fetchmail[1015]: Socket-Fehler beim Abholen von web17@mail.domain.de
Jun 16 20:28:28 mail fetchmail[1015]: Fehler bei Server-Zertifikat-Überprüfung: certificate has expired
Jun 16 20:28:28 mail fetchmail[1015]: OpenSSL berichtete: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Jun 16 20:28:28 mail fetchmail[1015]: SSL-Verbindung fehlgeschlagen.

Das kann so aber nicht stimmen. Das Zerti ist noch mehrere Monate gültig. (19.Okt.2020)

openssl x509 -in /etc/ssl/certs/mail.domain.de.pem -noout -dates
notBefore=Jul 30 00:00:00 2018 GMT
notAfter=Oct 27 23:59:59 2020 GMT

openssl x509 -in /etc/ssl/certs/mail.domain.de.pem -noout -fingerprint
SHA1 Fingerprint=C2:6A:50:D3:42:9F:77:F5:46:80:EC:A0:FB:67:9F:2A:26:B5:C4:4F

Dieser Fingerprint ist auch in der /etc/fetchmailrc hinterlegt

Unabhängig dessen habe ich das Zertifikat mal für Fetchmail neu schreiben lassen

echo "quit" | openssl s_client -connect mail.domain.de:995 -showcerts 2>/dev/null | su -c 'sed -ne "/BEGIN/,/END/p" >/etc/ssl/certs/mail.domain.de.pem'

+ fetchmail restart => Hat nur wenig gebracht. Fehler bleibt erhalten


Weiß einer Rat ?

 

[danton]

Ja, evtl. das hier: https://www.heise.de/news/AddTrust-Probleme-durch-abgelaufenes-Root-Zertifkat-4771717.html

 

[Lord_Icon]

lol... super Danton. DAS scheint schon mal der richtige weg zu sein
ich habe gerade mal... abgegeben. Du scheinst schon mal den richtigen riecher gehabt zu haben

openssl s_client -connect mail.domain.de:995 -showcerts
CONNECTED(00000003)
depth=3 C = SE, O = AddTrust AB, OU = AddTrust External TTP Network, CN = AddTrust External CA Root
verify error:num=10:certificate has expired
notAfter=May 30 10:48:38 2020 GMT
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=mail.domain.de
   i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA

 

[Joe User]

echo "QUIT" | openssl s_client -connect mail.example.com:995 | openssl x509 -noout -text
echo "QUIT" | openssl s_client -connect mail.example.com:995

EDIT: OK, da war danton schneller

 

[danton]

Zeit für den Betreiber des Mailservers, mal seine Zertifikatschain zu aktualisieren und das abgelaufene Zwischenzertifikat rauszunehmen.

 

[Lord_Icon]

hmm.. so ganz klar komme ich damit noch nicht

Zeit für den Betreiber des Mailservers, mal seine Zertifikatschain zu aktualisieren und das abgelaufene Zwischenzertifikat rauszunehmen.

ICH bin der Betreiber und habe ein:
*.ca-bundle
*.crt
*.csr
*.key

Das Zwischenzerti sollte das ca-bundle sein. Das soll einfach gelöscht werden und dann soll das schon wieder gehen (?)

 

[Lord_Icon]

Also das ca-bundle kann es nicht sein. Ich habe es mal verschoben und diese Datei aus der dovecot und postfix config rausgenommen und beides neu gestartet. Der andere Server (nur zur Mail-Abholung) meckert nun:

Jun 16 21:32:26 mail fetchmail[5103]: Socket-Fehler beim Abholen von web17@mail.domain.de
Jun 16 21:32:26 mail fetchmail[5103]: Fehler bei Server-Zertifikat-Überprüfung: unable to get local issuer certificate
Jun 16 21:32:26 mail fetchmail[5103]: Unterbrochene Zertifizierungskette bei: /C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
Jun 16 21:32:26 mail fetchmail[5103]: Dies kann bedeuten, dass der Server das/die Zertifikat(e) der Zwischenzertifizierungsstellen nicht mitlieferte. Daran kann fetchmail nichts ändern. Für weitere Information, siehe das mit Fetchmail ausgelieferte Dokument README.SSL-SERVER.
Jun 16 21:32:26 mail fetchmail[5103]: Das kann bedeuten, dass das Wurzelzertifikat nicht unter den vertrauenswürdigen CA-Zertifikaten ist, oder dass c_rehash auf dem Verzeichnis ausgeführt werden muss. Details sind in der fetchmail-Handbuchseite im bei --sslcertpath beschrieben.
Jun 16 21:32:26 mail fetchmail[5103]: OpenSSL berichtete: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Jun 16 21:32:26 mail fetchmail[5103]: SSL-Verbindung fehlgeschlagen.

 

[Lord_Icon]

mein Zerit läuft ja eh bald ab:

Wäre es nicht einfacher ich kaufe mir ein neues ?
Wäre damit das Problem behoben ?

 

[danton]

Da ich kein Sectigo-Zertifikat nutze, kann ich nur Vermutungen anstellen. Ich denke aber, dass du nur das abgelaufene Zwischenzertifikat entfernen musst bzw. es ggfl. durch ein aktuelles ersetzen musst.

 

[danton]

Wenn schon ein neues Zertifkat, warum dann nicht auf Lets Encrypt wechseln?

 

[Joe User]

Wenn das Zwischenzertifikat im ca-bundle sitzt, dann hast Du aber erschreckend lang kein Update mehr durchgeführt und hast noch deutlich mehr Sicherheitsprobleme auf dem System...

 

[Lord_Icon]

nö. Ist ein Debian 9 System... SOOO alt isses nicht.
aber in den Postfix/dovecot-Configs war das immer so drin. entsprechend immer so weitergeführt. Never change .. und so ;-)

 

[danton]

Wenn dein System mit Fetchmail auch ein Debian 9 System ist, sollte das Problem aber gar nicht auftreten. Denn meines Wissens hat libssl1.1 da kein Problem mit, wenn auch das noch gültige Zwischenzertifikat vorhanden ist. Anscheinend fehlt dieses in deiner Konfiguration.
Bezüglich "Never change...": Wenn du ein neues Zertifikat bekommst, stellt dir dein Anbieter normalerweise auch immer die aktuellen Zwischenzertifikate mit zur Verfügung. Die muss man dann natürlich auch mit austauschen.

 

[DjTom-i]

dpkg-reconfigure ca-certificates

-> hier dann das UserTrust / AddTrust External Root deaktivieren

Edit: Zum Thema gibts hier Infos: https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA03l00000117LT