Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Показать сообщение отдельно

ИО Капитана Очевидности


Contributor


Сообщения: 5354
Благодарности: 1101

Профиль | Отправить PM | Цитировать


Нужный сайфер оказался в списке доступных. Для его использования достаточно было закомментировать в конфиге /etc/ssl/openssl.cnf одну строку

Код: Выделить весь код
[system_default_sect]
MinProtocol = TLSv1.2
### CipherString = DEFAULT@SECLEVEL=2

Теперь возникла вторая проблема
Цитата:
fetchmail: Ошибка проверки сертификата сервера: unable to get local issuer certificate
fetchmail: Broken certification chain at: /DC=RU/DC=IRR/CN=IRR-CA-Root
fetchmail: This could mean that the server did not provide the intermediate CA's certificate(s), which is nothing fetchmail could do anything about. For details, please see the README.SSL-SERVER document that ships with fetchmail.
fetchmail: This could mean that the root CA's signing certificate is not in the trusted CA certificate location, or that c_rehash needs to be run on the certificate directory. For details, please see the documentation of --sslcertpath and --sslcertfile in the manual page.
fetchmail: OpenSSL reported: error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed
Как я понимаю, клиент не может проверить цепочку центров выдачи сертификатов из-за отсутствия промежуточных
Увы, в самом сертификате ссылка на родительский центр выдачи сертификатов выглядит так
Цитата:
openssl x509 -in ./test.pem -noout -text | grep -i uri
URI:ldap:///CN=IRR-CA-Root,CN=VS-I-DC01,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=IRR,DC=RU?certificateRevocati onList?base?objectClass=cRLDistributionPoint
CA Issuers - URI:ldap:///CN=IRR-CA-Root,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=IRR,DC=RU?cACertificate?base? objectClass=certificationAuthority
Как я понимаю, цепочка центров выдачи сертификатов скрыта в внутри домена. Просто скачать их не получится. Почему же тогда второй компьютер открывает почтовый ящик?
Или можно в настройках SSL отключить проверку цепочки?

-------
Самое совершенное оружие, которым забиты арсеналы богатых и процветающих наций, может легко уничтожить необразованного, больного, бедного и голодного. Но оно не может уничтожить невежество, болезнь, нищету и голод. (Фидель Кастро)

Почему всех осужденных за измену Родине при Сталине реабилитировали при Горбачёве по отсутствию состава преступления? Потому что при Горбачёве измену Родине перестали считать преступлением.


Отправлено: 02:17, 28-07-2021 | #5