Discussion:
Mail: SSL-Problem
(zu alt für eine Antwort)
Rolf Bensch
2020-05-31 10:27:54 UTC
Permalink
Hallo zusammen,

seit gestern Nachmittag erhalte ich Fehlermeldungen von fetchmail:

fetchmail: awakened at Sun, 31 May 2020 12:19:39 (CEST)
fetchmail: Server certificate verification error: certificate has
expired
fetchmail: OpenSSL reported: error:1416F086:SSL
routines:tls_process_server_certificate:certificate
verify failed
fetchmail: wt14.serverdomain.org: SSL connection failed.
fetchmail: socket error while fetching from
***@wt14.serverdomain.org
fetchmail: Query status=2 (SOCKET)
fetchmail: Server certificate verification error: certificate has
expired
fetchmail: OpenSSL reported: error:1416F086:SSL
routines:tls_process_server_certificate:certificate
verify failed

und das für alle Mailkonten bei meinem Smarthost "serverdomain.org"

Ich ging von einem Problem mit dem Zertifikat des Providers aus und habe
serverdomain.pem aktualisiert. Trotzdem kann fetchmail keine Mails holen:

Forcing an email request for account: myaccout (Rolf) ...

forced manually at Sun, 31 May 2020 12:15:37 (CEST)
Server certificate verification error: certificate has expired
OpenSSL reported: error:1416F086:SSL
routines:tls_process_server_certificate:certificate verify failed
wt14.serverdomain.org: SSL connection failed.
socket error while fetching from ***@wt14.serverdomain.org
finished at Sun, 31 May 2020 12:15:37 (CEST)
Query status=2 (SOCKET)

Die Zertifikatskette scheint in Ordnung:

...
checking certificate chain:
* OCSP Response verify OK (cache)
serverdomain.org.pem: good │
This Update: May 31 06:28:40 2020 GMT
Next Update: Jun 7 06:28:40 2020 GMT

Eine Mailabruf mit einem normalen Client (Thunderbird) funtioniert tadellos.

Was kann ich tun?

Grüße Rolf
Karl Heinrich Meyer
2020-05-31 10:39:44 UTC
Permalink
Post by Rolf Bensch
Hallo zusammen,
  fetchmail: awakened at Sun, 31 May 2020 12:19:39 (CEST)
  fetchmail: Server certificate verification error: certificate has
             expired
  fetchmail: OpenSSL reported: error:1416F086:SSL
             routines:tls_process_server_certificate:certificate
             verify failed
  fetchmail: wt14.serverdomain.org: SSL connection failed.
  fetchmail: socket error while fetching from
  fetchmail: Query status=2 (SOCKET)
  fetchmail: Server certificate verification error: certificate has
             expired
  fetchmail: OpenSSL reported: error:1416F086:SSL
             routines:tls_process_server_certificate:certificate
             verify failed
Hallo,

das gleiche Problem hatte ich gestern auch. Abhilfe war der Download des
certificate bundle in der Administration des Certs Service. Das Problem
ist nicht das Zertifikat meine Anbieters sonder das gestern um 12Uhr
abglaufene Zertifikat der Zertifizierungsstelle.

Gruss
Karl Heinrich
Marcus Röckrath
2020-05-31 10:55:57 UTC
Permalink
Hallo,
Post by Karl Heinrich Meyer
das gleiche Problem hatte ich gestern auch. Abhilfe war der Download des
certificate bundle in der Administration des Certs Service. Das Problem
ist nicht das Zertifikat meine Anbieters sonder das gestern um 12Uhr
abglaufene Zertifikat der Zertifizierungsstelle.
Im certs-Paket kann man sich die Details und die Kette jedes Zertifikates
anzeigen lassen. Damit sollte man auch feststellen können, welches
Zertifikat abgelaufen ist.

Üblicherweise versendet das certs-Paket Tage vor Ablauf eines Zertifikates
eine Warnmail. Bitte nachschauen, ob man diese Option abgeschaltet hat.
--
Gruß Marcus
[eisfair-Team]
Rolf Bensch
2020-05-31 14:36:27 UTC
Permalink
Hallo Marcus,
Post by Karl Heinrich Meyer
Hallo,
Post by Karl Heinrich Meyer
das gleiche Problem hatte ich gestern auch. Abhilfe war der Download des
certificate bundle in der Administration des Certs Service. Das Problem
ist nicht das Zertifikat meine Anbieters sonder das gestern um 12Uhr
abglaufene Zertifikat der Zertifizierungsstelle.
Im certs-Paket kann man sich die Details und die Kette jedes Zertifikates
anzeigen lassen. Damit sollte man auch feststellen können, welches
Zertifikat abgelaufen ist.
die Zertifikatskette hatte ich mir zuerst angesehen:

│*
│| certificate : serverdomain.org.pem (11851c4d)
│| subject : OU = Domain Control Validated CN = .serverdomain.org
│| issuer : C = GB ST = Greater Manchester L = Salford O = COMODO
CA Limited CN = COMODO RSA Domain Validation Secure Server CA
│| MD5 f-print : C2:4D:3E:7D:ED:65:1C:BB:30:91:CC:7E:72:9D:0D:81
│| SHA1 f-print: 61:E3:40:52:5D:0F:33:EB:60:65:47:47:AF:20:62:8B:5D:5C:6B:2B
│|
│+->| certificate : comodo_rsa_domain_validation_secure_server_ca.pem
(8d28ae65)
│ | subject : C = GB ST = Greater Manchester L = Salford O =
COMODO CA Limited CN = COMODO RSA Domain Validation Secure Server CA
│ | issuer : C = GB ST = Greater Manchester L = Salford O =
COMODO CA Limited CN = COMODO RSA Certification Authority
│ | MD5 f-print : 83:E1:04:65:B7:22:EF:33:FF:0B:6F:53:5E:8D:99:6B
│ | SHA1 f-print:
33:9C:DD:57:CF:D5:B1:41:16:9B:61:5F:F3:14:28:78:2D:1D:A6:39
│ |
│ +->| certificate : comodo_rsa_certification_authority.pem (d6325660)
│ | subject : C = GB ST = Greater Manchester L = Salford O =
COMODO CA Limited CN = COMODO RSA Certification Authority
│ | issuer : C = SE O = AddTrust AB OU = AddTrust External TTP
Network CN = AddTrust External CA Root │
│ | MD5 f-print : 1E:DA:F9:AE:99:CE:29:20:66:7D:0E:9A:8B:3F:8C:9C
│ | SHA1 f-print:
F5:AD:0B:CC:1A:D5:6C:D1:50:72:5B:1C:86:6C:30:AD:92:EF:21:B0
│ | valid until : 30.05.2020 12:48:38 - CERTIFICATE NEEDS AN
IMMEDIATE UPDATE!
│ |
│ +->| certificate : AddTrust_External_Root.pem (157753a5)
│ | subject : C = SE O = AddTrust AB OU = AddTrust External
TTP Network CN = AddTrust External CA Root
│ | issuer : C = SE O = AddTrust AB OU = AddTrust External
TTP Network CN = AddTrust External CA Root
│ | MD5 f-print : 1D:35:54:04:85:78:B0:3F:42:42:4D:BF:20:73:0A:3F
│ | SHA1 f-print:
02:FA:F3:E2:91:43:54:68:60:78:57:69:4D:F5:E4:5B:68:85:18:68
│ | valid until : 30.05.2020 12:48:38 - CERTIFICATE NEEDS AN
IMMEDIATE UPDATE!
│ |
│ +-> end of chain!

│checking certificate chain:
│* OCSP Response verify OK (cache)
│ serverdomain.org.pem: good
│ This Update: May 31 06:28:40 2020 GMT
│ Next Update: Jun 7 06:28:40 2020 GMT

Ich las "...verify ok...) und übersah dabei "Certificate needs an
immediate update"
Post by Karl Heinrich Meyer
Üblicherweise versendet das certs-Paket Tage vor Ablauf eines Zertifikates
eine Warnmail. Bitte nachschauen, ob man diese Option abgeschaltet hat.
Ich finde dazu nichts im certs-Paket. Welche Option meinst Du?

Es kam am 22.05. eine Mail "TLS certificates warning" mit folgendem Inhalt:

Certificate : /usr/local/ssl/certs/comodo_rsa_certification_authority.pem
Subject : C = GB, ST = Greater Manchester, L = Salford, O = COMODO
CA ...
: Limited, CN = COMODO RSA Certification Authority
Valid from : May 30 10:48:38 2000 GMT
Valid until: May 30 10:48:38 2020 GMT

Was macht denn der engagierte Admin mit dieser Info? Er kann das in den
Zertifikat-Ketten verifizieren und "Download ca certificate bundle"
ausführen. Aktuell ist es aber hier so, dass auch nach "Update *" das
alte Zertifikat angemeckert wird - sprich - darüber das ca-Zertifikat
nicht aktualisiert wird. Verfahre ich jetzt nach FAQ ->
"Zertifikatsketten vervollständigen" oder gibt es einen eleganteren Weg?

Grüße Rolf
Marcus Röckrath
2020-05-31 14:46:44 UTC
Permalink
Hallo Rolf,
Post by Rolf Bensch
Post by Marcus Röckrath
Üblicherweise versendet das certs-Paket Tage vor Ablauf eines
Zertifikates eine Warnmail. Bitte nachschauen, ob man diese Option
abgeschaltet hat.
Ich finde dazu nichts im certs-Paket. Welche Option meinst Du?
Verwechslung meinerseits; es ist das mail-Paket und die Option

MAIL_CERTS_WARNING='yes'
Dann hast du das aktiviert.
Post by Rolf Bensch
Certificate : /usr/local/ssl/certs/comodo_rsa_certification_authority.pem
Subject : C = GB, ST = Greater Manchester, L = Salford, O = COMODO
CA ...
: Limited, CN = COMODO RSA Certification Authority
Valid from : May 30 10:48:38 2000 GMT
Valid until: May 30 10:48:38 2020 GMT
Was macht denn der engagierte Admin mit dieser Info?
Sich doch das neue Zertifikat besorgen, oder?
Post by Rolf Bensch
Er kann das in den
Zertifikat-Ketten verifizieren und "Download ca certificate bundle"
ausführen.
Das spielt allerdings dann eine Menge Zertifikate ins System, was dann
schonmal Probleme mit den CRLs provozieren kann, weshalb ich das Bundle
nicht mehr auf meinen Systemen installiere.
Post by Rolf Bensch
Aktuell ist es aber hier so, dass auch nach "Update *" das
alte Zertifikat angemeckert wird - sprich - darüber das ca-Zertifikat
nicht aktualisiert wird.
Update * ? Was meinst du damit. Das bundle?

Das wird von den Mozilla-Leuten gepflegt.
Post by Rolf Bensch
Verfahre ich jetzt nach FAQ ->
"Zertifikatsketten vervollständigen" oder gibt es einen eleganteren Weg?
Ich gehe grundsätzlich so vor.
--
Gruß Marcus
[eisfair-Team]
Rolf Bensch
2020-05-31 15:22:29 UTC
Permalink
Hallo Marcus,
Post by Marcus Röckrath
Hallo Rolf,
Post by Rolf Bensch
Post by Marcus Röckrath
Üblicherweise versendet das certs-Paket Tage vor Ablauf eines
Zertifikates eine Warnmail. Bitte nachschauen, ob man diese Option
abgeschaltet hat.
Ich finde dazu nichts im certs-Paket. Welche Option meinst Du?
Verwechslung meinerseits; es ist das mail-Paket und die Option
MAIL_CERTS_WARNING='yes'
Dann hast du das aktiviert.
Das ist gut so.
Post by Marcus Röckrath
Post by Rolf Bensch
Certificate : /usr/local/ssl/certs/comodo_rsa_certification_authority.pem
Subject : C = GB, ST = Greater Manchester, L = Salford, O = COMODO
CA ...
: Limited, CN = COMODO RSA Certification Authority
Valid from : May 30 10:48:38 2000 GMT
Valid until: May 30 10:48:38 2020 GMT
Was macht denn der engagierte Admin mit dieser Info?
Sich doch das neue Zertifikat besorgen, oder?
das kann man nur in kniffliger Handarbeit oder per "certicate bundle".
Richtig?
Post by Marcus Röckrath
Post by Rolf Bensch
Er kann das in den
Zertifikat-Ketten verifizieren und "Download ca certificate bundle"
ausführen.
Das spielt allerdings dann eine Menge Zertifikate ins System, was dann
schonmal Probleme mit den CRLs provozieren kann, weshalb ich das Bundle
nicht mehr auf meinen Systemen installiere.
Das habe ich gerade gemerkt und das Bundle wieder entfernt.
Post by Marcus Röckrath
Post by Rolf Bensch
Aktuell ist es aber hier so, dass auch nach "Update *" das
alte Zertifikat angemeckert wird - sprich - darüber das ca-Zertifikat
nicht aktualisiert wird.
Update * ? Was meinst du damit. Das bundle?
Nein. Alle Menüpunkte des cert-pakets die mit "Update" beginnen

Habe aktuell das Zertifikat heruntergeladen und installiert. Das scheint
zu funktionieren.

Vielen Dank

Grüße Rolf
Marcus Röckrath
2020-05-31 15:34:24 UTC
Permalink
Hallo Rolf,
Post by Rolf Bensch
Post by Marcus Röckrath
Post by Rolf Bensch
Was macht denn der engagierte Admin mit dieser Info?
Sich doch das neue Zertifikat besorgen, oder?
das kann man nur in kniffliger Handarbeit oder per "certicate bundle".
Richtig?
Ja, wies sonst.
Post by Rolf Bensch
Das habe ich gerade gemerkt und das Bundle wieder entfernt.
Post by Marcus Röckrath
Post by Rolf Bensch
Aktuell ist es aber hier so, dass auch nach "Update *" das
alte Zertifikat angemeckert wird - sprich - darüber das ca-Zertifikat
nicht aktualisiert wird.
Update * ? Was meinst du damit. Das bundle?
Nein. Alle Menüpunkte des cert-pakets die mit "Update" beginnen
Die haben mit dem Update von fremden CA-Zertifikaten nichts zu tun.
Post by Rolf Bensch
Habe aktuell das Zertifikat heruntergeladen und installiert. Das scheint
zu funktionieren.
Fein.
--
Gruß Marcus
[eisfair-Team]
Juergen Edner
2020-05-31 18:12:58 UTC
Permalink
Hallo Rolf,
...
│   +->| certificate : comodo_rsa_certification_authority.pem (d6325660)
│      | subject     : C = GB ST = Greater Manchester L = Salford O =
COMODO CA Limited CN = COMODO RSA Certification Authority
│      | issuer      : C = SE O = AddTrust AB OU = AddTrust External TTP
Network CN = AddTrust External CA Root                                │
│      | MD5 f-print : 1E:DA:F9:AE:99:CE:29:20:66:7D:0E:9A:8B:3F:8C:9C
F5:AD:0B:CC:1A:D5:6C:D1:50:72:5B:1C:86:6C:30:AD:92:EF:21:B0
│      | valid until : 30.05.2020 12:48:38 - CERTIFICATE NEEDS AN
IMMEDIATE UPDATE!
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
│      +->| certificate : AddTrust_External_Root.pem (157753a5)
│         | subject     : C = SE O = AddTrust AB OU = AddTrust External
TTP Network CN = AddTrust External CA Root
│         | issuer      : C = SE O = AddTrust AB OU = AddTrust External
TTP Network CN = AddTrust External CA Root
│         | MD5 f-print : 1D:35:54:04:85:78:B0:3F:42:42:4D:BF:20:73:0A:3F
02:FA:F3:E2:91:43:54:68:60:78:57:69:4D:F5:E4:5B:68:85:18:68
│         | valid until : 30.05.2020 12:48:38 - CERTIFICATE NEEDS AN
IMMEDIATE UPDATE!
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

Soweit ich mich erinnere hat Comodo mit seinen Zertifikaten herum
gespielt und einige Root- bzw. Zwischenzertifikate durch andere mit
gleichem Subject ersetzt. Du musst also die korrekte und gültigen
Zertifikate durch z.B. eine Anfrage bei Tante G. finden, herunterladen
und installieren.

Gruß Jürgen
--
Mail: ***@eisfair.org
Rolf Bensch
2020-06-01 14:16:16 UTC
Permalink
Hallo Jürgen,
Post by Juergen Edner
Soweit ich mich erinnere hat Comodo mit seinen Zertifikaten herum
gespielt und einige Root- bzw. Zwischenzertifikate durch andere mit
gleichem Subject ersetzt. Du musst also die korrekte und gültigen
Zertifikate durch z.B. eine Anfrage bei Tante G. finden, herunterladen
und installieren.
gesagt, getan, am Morgen war auf einem Server wieder alles ungültig.
Vermutlich habe ich bei der Installation noch einen Fehler gemacht.
Aufgefallen ist mit aber, dass Comodo derzeit noch beide Zertifikate
anbietet. Man muss genau aufpassen, dass man das richtige erwischt.

Gruß Rolf
Rolf Bensch
2020-05-31 15:40:13 UTC
Permalink
Hallo Marcus,

zum 30.05. lief das Zertifkat der ca "AddTrust External root" aus und
wird nicht mehr verlängert. Ein Nachfolger ist "Comodo RSA Certification
Authority Root". Das wirft vermutlich in vielen Installationen Störungen
auf.

Quelle:
https://www.xolphin.de/support/Stammzertifikate/Addtrust_External_CA_Stammzertifikat_auslaufen_lassen

Grüße Rolf
Marcus Röckrath
2020-05-31 16:05:13 UTC
Permalink
Hallo Rolf,
Post by Rolf Bensch
zum 30.05. lief das Zertifkat der ca "AddTrust External root" aus und
wird nicht mehr verlängert. Ein Nachfolger ist "Comodo RSA Certification
Authority Root". Das wirft vermutlich in vielen Installationen Störungen
auf.
Das bedeutet, das damit sämtliche Zertifikate ausgetauscht werden müssen,
die direkt von diesem unterschrieben wurden.
--
Gruß Marcus
[eisfair-Team]
Rolf Bensch
2020-06-01 14:34:09 UTC
Permalink
Hallo Marcus,
Post by Marcus Röckrath
Das bedeutet, das damit sämtliche Zertifikate ausgetauscht werden müssen,
die direkt von diesem unterschrieben wurden.
ja, so sieht's wohl aus. Hier war dann auch
"usertrust_rsa_certification_authority.pem" betroffen.

Meine Vorgehensweise:
cd /usr/local/ssl/certs
rm AddTrust*.pem
rm usertrust*.pem
rm como*.pem
rm serverdomain.org

Dann das Zertifikat comodorsacertificationauthority.crt herunterladen
und nach comodorsacertificationauthority.pem umbenennen.

Certs Service -> Update certs/crl hashes -> 3 certificate and revocation
list folder

Mail Services -> Modules -> Mail addon certificates -> update
fingerprints and certificates for fetchmail

Folgende Zertifikat werden danach gelistet:
3 USERTrust_RSA_C...ation_Authority
...
6 comodo_rsa_doma...ecure_server_ca
7 comodorsacertificationauthority
...
16 serverdomain.org

3 und 7 sind bis 2038 gültig, 6 bis 2028 und 16 wird ohnehin regelmäßig
heruntergeladen.

Ich denke, damit ist das Problem abschließend behoben.

Grüße Rolf
Marcus Röckrath
2020-06-02 17:37:15 UTC
Permalink
Hallo Rolf,
Post by Rolf Bensch
zum 30.05. lief das Zertifkat der ca "AddTrust External root" aus und
wird nicht mehr verlängert. Ein Nachfolger ist "Comodo RSA Certification
Authority Root". Das wirft vermutlich in vielen Installationen Störungen
auf.
https://www.xolphin.de/support/Stammzertifikate/Addtrust_External_CA_Stammzertifikat_auslaufen_lassen

Heute steht auch was bei heise dazu:

https://www.heise.de/news/AddTrust-Probleme-durch-abgelaufenes-Root-Zertifkat-4771717.html
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
2020-06-03 18:15:20 UTC
Permalink
Hallo Rolf,
Post by Rolf Bensch
zum 30.05. lief das Zertifkat der ca "AddTrust External root" aus und
wird nicht mehr verlängert. Ein Nachfolger ist "Comodo RSA Certification
Authority Root". Das wirft vermutlich in vielen Installationen Störungen
auf.
https://www.xolphin.de/support/Stammzertifikate/Addtrust_External_CA_Stammzertifikat_auslaufen_lassen

Heute steht auch was bei heise dazu:

https://www.heise.de/news/AddTrust-Probleme-durch-abgelaufenes-Root-Zertifkat-4771717.html
--
Gruß Marcus
[eisfair-Team]
Rolf Bensch
2020-05-31 11:00:04 UTC
Permalink
Hallo Karl Heinrich,
Post by Karl Heinrich Meyer
Post by Rolf Bensch
Hallo zusammen,
   fetchmail: awakened at Sun, 31 May 2020 12:19:39 (CEST)
   fetchmail: Server certificate verification error: certificate has
              expired
   fetchmail: OpenSSL reported: error:1416F086:SSL
              routines:tls_process_server_certificate:certificate
              verify failed
   fetchmail: wt14.serverdomain.org: SSL connection failed.
   fetchmail: socket error while fetching from
   fetchmail: Query status=2 (SOCKET)
   fetchmail: Server certificate verification error: certificate has
              expired
   fetchmail: OpenSSL reported: error:1416F086:SSL
              routines:tls_process_server_certificate:certificate
              verify failed
Hallo,
das gleiche Problem hatte ich gestern auch. Abhilfe war der Download des
certificate bundle in der Administration des Certs Service. Das Problem
ist nicht das Zertifikat meine Anbieters sonder das gestern um 12Uhr
abglaufene Zertifikat der Zertifizierungsstelle.
Gruss
Karl Heinrich
tatsächlich, das war's.

Vielen Dank

Grüße Rolf
Loading...