Ahoj, řekl bych, že máš za klientovi zakázané tls 1.0. Zkus přidat tvůj ca do důvěryhodnych autorit a project konfiguraci klienta. Mimochodem ještě bych si ověřil na serveru jestli nepoužíváš zastaralé sslv3.
Odesláno ze smartphonu Sony Xperia™
Petr Líbal libal@volfsystems.cznapsal/a:
Ahojte, mám takovej problémek.. už cca 2 roky jedu konfiguraci postfix/dovecot mám vygenerovaný self-signed certifikáty(už od instalace, platnost 10roku) v thunderbirdu nastavenou IMAP komunikaci po STARTTLS port 143 a vše fungovalo/funguje jak má -> napoprvé to zabrečí že self-signed cert. potvrdí se vyjímka a jede to.
jenže včera vyskočila z ničeho nic hláška že to chce zas potvrdit vyjímku a můžu to mačkatjak chci ale furt to tam naskakuje... v /var/mail.log je tohle:
dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=XXX.XXX.XXX.XXX, lip=XXX.XXX.XXX.XXX, TLS: SSL_read() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48
proč to chce CA když používám self-signed cert??
ale to nejlepší je že tohle mi dělá jen jeden PC(win7) + virtuál v něm(w10) a to:
-skoušeno na místní wifi i lte -zkoušel sem tři verze Thunderbirdu a to 36, 45.0.0 a teď poslední 45.1.1
na dalších 6ti pc je to ok(k těm se dostanu nejdřív zejtra abych okoukl konfig/verzi), z telefonu(android + gmail app) je to ok...(port 143/STARTTLS-prijimat all)
tam to do logu hodí normálně:
dovecot: imap-login: Login: user=XXXXXX@XXXXXXXXXXXX.cz, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=XXX.XXX.XXX.XXX, mpid=23855, TLS, session=<sXKy5C01dADVqLix>
na příkaz: openssl s_client -connect muj.server.cz:143 -starttls imap
mi to odpoví že:
bla bla
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 4096 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
bla bla bla
Verify return code: 18 (self signed certificate) OK
což je v pořádku ne?
jen pro info:
dpkg -l | egrep 'postfix|dovecot' ii dovecot-core 1:2.2.9-1ubuntu2.1 amd64 secure POP3/IMAP server - core files ii dovecot-imapd 1:2.2.9-1ubuntu2.1 amd64 secure POP3/IMAP server - IMAP daemon ii dovecot-mysql 1:2.2.9-1ubuntu2.1 amd64 secure POP3/IMAP server - MySQL support ii dovecot-pop3d 1:2.2.9-1ubuntu2.1 amd64 secure POP3/IMAP server - POP3 daemon ii dovecot-sieve 1:2.2.9-1ubuntu2.1 amd64 secure POP3/IMAP server - Sieve filters support ii postfix 2.11.0-1ubuntu1 amd64 High-performance mail transport agent ii postfix-doc 2.11.0-1ubuntu1 all Documentation for Postfix ii postfix-mysql 2.11.0-1ubuntu1 amd64 MySQL map support for Postfi
přijde mi to jako problém Thunderbirdu ale jistej si nejsem... zvlášť když nepomohla ani nová instalace na jinym OS...
co myslíte?
-- S pozdravem Petr Líbal 734 622 701| libal@volfsystems.cz _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj, CA přidávat ručně se zkoušel.. (pokud je to ten z /etc/ssl/certs/dovecot.pem (samozrejme ne ten "private") popravdě v těch klíčích už trošku plavu :)
generovaný je to takhle pokud se nepletu:
openssl req -new -x509 -days 3650 -nodes -out "/etc/ssl/certs/dovecot.pem" -keyout "/etc/ssl/private/dovecot.pem"
v /etc/dovecot/dovecot.conf mám:
ssl_protocol = !SSLv2 !SSLv3
takže žádný starý SSL...
ještě v příloze info z sstools.net tam to sice píše že podporuju nějaký slabý šifry ale nic zásadního...
jediný cim si nejsem jistej, tak to pise ze to nemohlo overit certfikacni autoritu ale mam za to ze je to dany tim self-signed ne? defakto proto to chce potvrdit i tu bezpecnostni vyjimku v Thunder... ? nebo se pletu?
jak do toho cumim uz druhej den sem cim dal tim vic zmatenej :)
Petr
Dne 2016-06-14 00:19, Jiří V. napsal:
Ahoj, řekl bych, že máš za klientovi zakázané tls 1.0. Zkus přidat tvůj ca do důvěryhodnych autorit a project konfiguraci klienta. Mimochodem ještě bych si ověřil na serveru jestli nepoužíváš zastaralé sslv3.
Odesláno ze smartphonu Sony Xperia™
Petr Líbal libal@volfsystems.cznapsal/a:
Ahojte, mám takovej problémek.. už cca 2 roky jedu konfiguraci postfix/dovecot mám vygenerovaný self-signed certifikáty(už od instalace, platnost 10roku) v thunderbirdu nastavenou IMAP komunikaci po STARTTLS port 143 a vše fungovalo/funguje jak má -> napoprvé to zabrečí že self-signed cert. potvrdí se vyjímka a jede to.
jenže včera vyskočila z ničeho nic hláška že to chce zas potvrdit vyjímku a můžu to mačkatjak chci ale furt to tam naskakuje... v /var/mail.log je tohle:
dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=XXX.XXX.XXX.XXX, lip=XXX.XXX.XXX.XXX, TLS: SSL_read() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48
proč to chce CA když používám self-signed cert??
ale to nejlepší je že tohle mi dělá jen jeden PC(win7) + virtuál v něm(w10) a to:
-skoušeno na místní wifi i lte -zkoušel sem tři verze Thunderbirdu a to 36, 45.0.0 a teď poslední 45.1.1
na dalších 6ti pc je to ok(k těm se dostanu nejdřív zejtra abych okoukl konfig/verzi), z telefonu(android + gmail app) je to ok...(port 143/STARTTLS-prijimat all)
tam to do logu hodí normálně:
dovecot: imap-login: Login: user=XXXXXX@XXXXXXXXXXXX.cz, method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=XXX.XXX.XXX.XXX, mpid=23855, TLS, session=<sXKy5C01dADVqLix>
na příkaz: openssl s_client -connect muj.server.cz:143 -starttls imap
mi to odpoví že:
bla bla
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 4096 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384
bla bla bla
Verify return code: 18 (self signed certificate) OK
což je v pořádku ne?
jen pro info:
dpkg -l | egrep 'postfix|dovecot' ii dovecot-core 1:2.2.9-1ubuntu2.1 amd64 secure POP3/IMAP server - core files ii dovecot-imapd 1:2.2.9-1ubuntu2.1 amd64 secure POP3/IMAP server - IMAP daemon ii dovecot-mysql 1:2.2.9-1ubuntu2.1 amd64 secure POP3/IMAP server - MySQL support ii dovecot-pop3d 1:2.2.9-1ubuntu2.1 amd64 secure POP3/IMAP server - POP3 daemon ii dovecot-sieve 1:2.2.9-1ubuntu2.1 amd64 secure POP3/IMAP server - Sieve filters support ii postfix 2.11.0-1ubuntu1 amd64 High-performance mail transport agent ii postfix-doc 2.11.0-1ubuntu1 all Documentation for Postfix ii postfix-mysql 2.11.0-1ubuntu1 amd64 MySQL map support for Postfi
přijde mi to jako problém Thunderbirdu ale jistej si nejsem... zvlášť když nepomohla ani nová instalace na jinym OS...
co myslíte?
-- S pozdravem Petr Líbal 734 622 701| libal@volfsystems.cz _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Když máš self-signed, tak žádná autorita neexistuje. Je to pak jen samostatně stojící certifikát, jehož zdroj nelze ověřit.
Proč ale dneska používáš self, když můžeš mít důvěryhodný cert od Lets's Encrypt?
přesně to sem si myslel, díky
Lets's Encrypt před 2 lety ještě pokud vím neběželo a vcelku se držím zásady nevrtat se v tom co funguje, každopádně to vypadá že asi nastal ten vhodný okamžik začít..
co sem v rychlosti koukal na pár návodů mělo by stačit: zkopírovat z gitu nainstalovat vygenerovat klíče automaticky obnovovat pak jen přenastavit cesty v postfixu/dovecotu
až se dostanu domů, zkusím to víc nastudovat, dík za tip
Petr
Dne 2016-06-14 10:45, Petr Krcmar napsal:
Když máš self-signed, tak žádná autorita neexistuje. Je to pak jen samostatně stojící certifikát, jehož zdroj nelze ověřit.
Proč ale dneska používáš self, když můžeš mít důvěryhodný cert od Lets's Encrypt?
Doporučuji klient ACME.sh, je napsaný v bashi, nemá žádné závislosti a umí všechno.
Ahoj,
vše je přehozeno na Lets's Encrypt, ještě uvidíme zda se povede automatickej "refresh" za 3 měsíce ale jinač to vypadá super.
s ACME.sh je to až překvapivě jednoduché :)
ještě jednou dík za nasměrování ;)
Petr
Dne 14.6.2016 v 13:08 Petr Krcmar napsal(a):
Doporučuji klient ACME.sh, je napsaný v bashi, nemá žádné závislosti a umí všechno.
A jestli plaveš v klíčích a certifikátech, tak jsem to nedávno vysvětloval na přednášce:
https://www.youtube.com/watch?v=47sj8xdjAsQ
community-list@lists.vpsfree.cz
-
Jiří V. -
Petr Krcmar -
Petr Líbal