[vpsFree.cz: community-list] dovecot, thunderbird, self-signed cert ca error
Petr Líbal
libal at volfsystems.cz
Tue Jun 14 09:20:50 CEST 2016
Ahoj,
CA přidávat ručně se zkoušel.. (pokud je to ten z
/etc/ssl/certs/dovecot.pem (samozrejme ne ten "private")
popravdě v těch klíčích už trošku plavu :)
generovaný je to takhle pokud se nepletu:
openssl req -new -x509 -days 3650 -nodes -out
"/etc/ssl/certs/dovecot.pem" -keyout "/etc/ssl/private/dovecot.pem"
v /etc/dovecot/dovecot.conf mám:
ssl_protocol = !SSLv2 !SSLv3
takže žádný starý SSL...
ještě v příloze info z sstools.net
tam to sice píše že podporuju nějaký slabý šifry ale nic zásadního...
jediný cim si nejsem jistej, tak to pise ze to nemohlo overit
certfikacni autoritu ale mam za to ze je to dany tim self-signed ne?
defakto proto to chce potvrdit i tu bezpecnostni vyjimku v Thunder... ?
nebo se pletu?
jak do toho cumim uz druhej den sem cim dal tim vic zmatenej :)
Petr
Dne 2016-06-14 00:19, Jiří V. napsal:
> Ahoj, řekl bych, že máš za klientovi zakázané tls 1.0. Zkus přidat
> tvůj ca do důvěryhodnych autorit a project konfiguraci klienta.
> Mimochodem ještě bych si ověřil na serveru jestli nepoužíváš zastaralé
> sslv3.
>
> Odesláno ze smartphonu Sony Xperia™
>
> Petr Líbal <libal at volfsystems.cz>napsal/a:
>
>>
>> Ahojte,
>> mám takovej problémek.. už cca 2 roky jedu konfiguraci postfix/dovecot
>> mám vygenerovaný self-signed certifikáty(už od instalace, platnost
>> 10roku) v thunderbirdu nastavenou IMAP komunikaci po STARTTLS port 143
>> a
>> vše fungovalo/funguje jak má -> napoprvé to zabrečí že self-signed
>> cert.
>> potvrdí se vyjímka a jede to.
>>
>> jenže včera vyskočila z ničeho nic hláška že to chce zas potvrdit
>> vyjímku a můžu to mačkatjak chci ale furt to tam naskakuje...
>> v /var/mail.log je tohle:
>>
>> dovecot: imap-login: Disconnected (no auth attempts in 0 secs):
>> user=<>,
>> rip=XXX.XXX.XXX.XXX, lip=XXX.XXX.XXX.XXX, TLS: SSL_read() failed:
>> error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:
>> SSL
>> alert number 48
>>
>> proč to chce CA když používám self-signed cert??
>>
>> ale to nejlepší je že tohle mi dělá jen jeden PC(win7) + virtuál v
>> něm(w10) a to:
>>
>> -skoušeno na místní wifi i lte
>> -zkoušel sem tři verze Thunderbirdu a to 36, 45.0.0 a teď poslední
>> 45.1.1
>>
>>
>> na dalších 6ti pc je to ok(k těm se dostanu nejdřív zejtra abych
>> okoukl
>> konfig/verzi), z telefonu(android + gmail app) je to ok...(port
>> 143/STARTTLS-prijimat all)
>>
>>
>> tam to do logu hodí normálně:
>>
>> dovecot: imap-login: Login: user=<XXXXXX at XXXXXXXXXXXX.cz>,
>> method=PLAIN, rip=XXX.XXX.XXX.XXX, lip=XXX.XXX.XXX.XXX, mpid=23855,
>> TLS,
>> session=<sXKy5C01dADVqLix>
>>
>> na příkaz: openssl s_client -connect muj.server.cz:143 -starttls imap
>>
>> mi to odpoví že:
>>
>> bla bla
>>
>> New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
>> Server public key is 4096 bit
>> Secure Renegotiation IS supported
>> Compression: NONE
>> Expansion: NONE
>> SSL-Session:
>> Protocol : TLSv1.2
>> Cipher : ECDHE-RSA-AES256-GCM-SHA384
>>
>> bla bla bla
>>
>> Verify return code: 18 (self signed certificate)
>> OK
>>
>> což je v pořádku ne?
>>
>> jen pro info:
>>
>> dpkg -l | egrep 'postfix|dovecot'
>> ii dovecot-core 1:2.2.9-1ubuntu2.1
>> amd64 secure POP3/IMAP server - core files
>> ii dovecot-imapd 1:2.2.9-1ubuntu2.1
>> amd64 secure POP3/IMAP server - IMAP daemon
>> ii dovecot-mysql 1:2.2.9-1ubuntu2.1
>> amd64 secure POP3/IMAP server - MySQL support
>> ii dovecot-pop3d 1:2.2.9-1ubuntu2.1
>> amd64 secure POP3/IMAP server - POP3 daemon
>> ii dovecot-sieve 1:2.2.9-1ubuntu2.1
>> amd64 secure POP3/IMAP server - Sieve filters support
>> ii postfix 2.11.0-1ubuntu1
>> amd64 High-performance mail transport agent
>> ii postfix-doc 2.11.0-1ubuntu1
>> all Documentation for Postfix
>> ii postfix-mysql 2.11.0-1ubuntu1
>> amd64 MySQL map support for Postfi
>>
>>
>> přijde mi to jako problém Thunderbirdu ale jistej si nejsem... zvlášť
>> když nepomohla ani nová instalace na jinym OS...
>>
>> co myslíte?
>>
>> --
>> S pozdravem
>> Petr Líbal
>> 734 622 701| libal at volfsystems.cz
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
-------------- next part --------------
A non-text attachment was scrubbed...
Name: ssltools.jpg
Type: image/jpeg
Size: 106700 bytes
Desc: not available
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20160614/6f7858bd/attachment-0004.jpg>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: cert.jpg
Type: image/jpeg
Size: 17631 bytes
Desc: not available
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20160614/6f7858bd/attachment-0005.jpg>
More information about the Community-list
mailing list