突然,gmail 无法从我的邮件服务器(postfix、dovecot)获取任何邮件,并显示以下消息:
Unable to establish secure SSL connection to mail.domain.com
Server returned error: "SSL error: Certificate 1 of the best path has an error"
我们最近没有对服务器进行任何更改,我们在所有 pop3、imap 和 smtp 上都使用 tls v1.2,
SMTP 在 Gmail 上仍能正常工作,
任何其他邮件客户端(例如 Thunderbird、Outlook、Mail Exchange 等)都可以在我们的服务器上正常运行
编辑:我检查了多个 pop3 ssl 验证网站和命令行(例如“ openssl s_client”,我们的服务器全部通过了,
答案1
自星期三以来,Google 邮件服务器似乎不再接受使用 sha1 哈希算法签名的中间证书。
运行该命令openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcerts后我发现,邮件服务器正在(现在仍然)提供中间证书的 sha1 版本。
我不知道负责您情况的中级 CA 的名称(您情况是第一个,我情况是第二个),但我确信您会在 CA 网站上找到重新颁发的中级 CA 证书。使用openssl s_client …该-showcerts参数运行应该会显示数字-----BEGIN CERTIFICATE-----下的块(它从开始计数,因此它将是第二个块)。您可以将该 BEGIN 到 END CERTIFICATE 块复制到 .crt 或 .cer 文件中,然后在 Windows 上打开它以查看详细信息。Certificate chain10
对于我所处的那个特定中间 CA,根 CA 4 年前已经重新颁发了相同证书的 sha256 签名版本,但服务器管理员将旧的 sha-1 版本放入了链中。就我而言,我将忽略它,因为我不再积极使用该邮件帐户,并且该邮件服务器的管理员似乎没有 SSL/TLS 上下文经验。(2016 年,尽管我已经详细告诉他们,但他们花了 2 个月的时间才意识到问题所在以及如何修复,但他们仍然没有做到 100% 正确。)