连接到公司电子邮件时 SSL 证书已过期错误

tag-icon tag-icon email ssl-certificate outlook
连接到公司电子邮件时 SSL 证书已过期错误

由于根 SSL 证书已于 5 月 30 日过期,我无法使用 evolution 电子邮件客户端从公司 Microsoft Exchange 服务器获取任何电子邮件,错误消息只是说 SSL 证书无效,这完全合理。内部 IT 服务表示一切正常,他们不会调查此问题。事实上,Outlook Web 界面没有问题。

公共 SSL 证书检查器 (https://ssltools.godaddy.com/views/certCheckerhttps://www.sslchecker.com/sslchecker) 大体上同意我的观点,并指出链中的一个证书无效。

我不是 SSL 证书链方面的专家,问题是什么才能真正解决这个问题?

我的证书是否太旧,或者服务器为我的电子邮件客户端提供了过时的证书链,或者可能存在其他来源?

到最后,我是否应该敦促 IT 部门加强工作,或者在系统配置中发现问题,或者向我的电子邮件客户端开发人员报告错误?

操作系统:Arch Linux安装了以下软件包:

evolution 3.36.3
ca-certificates 20181109-3
ca-certificates-mozilla 3.53-1

似乎没有其他服务受到影响。如能得到任何帮助,我们将不胜感激。

编辑

详细技术说明:https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020

证书已过期,根据https://ssltools.godaddy.com/views/certChecker

Serial Number: 2766EE56EB49F38EABD770A2FC84DE22
Signature Algorithm: Sha384 With RSA Encryption
Issuer Name: AddTrust AB
Common Name: COMODO RSA Certification Authority
Validity Period: May 30, 2000 to May 30, 2020

到最后,我是否应该敦促 IT 部门加强工作,或者在系统配置中发现问题,或者向我的电子邮件客户端开发人员报告错误?

答案1

您可以使用相同的 CA 来更新 SSL 证书(如果是这种情况,您是否有 CA 或客户端?)。您需要被分配权限,因此如果您没有权限,最好催促您的 IT 部门(他们也是管理员,因此也应该通过提供所有信息来帮助您。每个证书都有其到期日期(通常在 5 年后到期)。希望下面的链接也能有所帮助 https://docs.microsoft.com/en-us/exchange/architecture/client-access/renew-certificates?view=exchserver-2019#:~:text=Every%20certificate%20has%20a%20built,Shell%20to%20renew%20Exchange%20certificates

答案2

PKI 中的 CA 需要得到依赖其证书的各方的信任,以防止获得对信任 CA 的系统的访问权限。当浏览器接收证书序列时,会将 CA 的根连接到服务器的证书。通常,浏览器必须考虑多个认证路径,才能找到给定证书的有效路径。

如果路径被接受为有效,浏览器将验证认证路径,否则将变为无效(已过期),CA 将撤销证书(主要是因为域名更改、私钥泄露等)=> 而这正是许多其他用户最近面临的问题,因为他们报告了大量有关使用 GnuTLS 的应用程序中验证失败的错误(Evolution 使用 GnuTLS)。在此 SSL 站点上,建议从 OS 根存储中删除过期的 AddTrust 证书(但不幸的是,您的 Linux 没有链接)。

https://www.ssl.com/blogs/addtrust-external-ca-root-expired-may-30-2020/

@Рамиль Матрасов 您认为问题出在服务器、CA 还是仅仅从操作系统中删除就可以了?

答案3

在 Evolution IRC 频道上提问有助于找到正确的途径。

错误原因是根 SSL 证书于 2020 年 5 月 31 日到期,并且 GnuTLS 中的算法实现较旧。

进化的错误报告:https://gitlab.gnome.org/GNOME/glib-networking/-/issues/136

根据以下要求,需要进行 GnuTLS 更新https://mail.gnome.org/archives/distributor-list/2020-June/msg00000.html

GnuTLS 错误报告:https://gitlab.gnome.org/GNOME/glib-networking/-/issues/136,这似乎已在 GnuTLS 3.6.14 中修复

最后,GNUtls 更新解决了这个问题。

答案4

我很高兴您已经修复了证书问题,同时您可以标记您的解决方案以帮助遇到同样问题的人。

此外,您还可以通过运行命令“获取 ExchangeCertificate | fl 主题,NotAfter“在 EMS(Exchange PowerShell)中,如果您的 Exchange 服务器使用了该证书,您最好更新过期的证书,以避免一些可能出现的问题(例如 Outlook 应用程序提示证书无效),具体方法请参见官方文档诺卡共享。

相关内容