Цитата El Scorpio:
|
Как я понимаю, цепочка центров выдачи сертификатов скрыта в внутри домена. »
|
Просто CN=IRR-CA-Root не является trusted root CA. А так-то сервер должен отдавать всю цепочку (кроме необязательного "настоящего" root CA). Хотя конечно мало ли что там нарукожоплено, при таком-то подходе.
Что даёт openssl s_client -showcerts -starttls imap -connect server.ru:143 ?
Если у последнего в цепочке subject и issuer совпадают, то достаточно просто проинсталить этот сертификат на клиенте.
Админу того сервера пора пинка дать, серты стоят гроши или вообще ничего в случае летсенкрипт, за колхозинг с самоподписными сертами, которые не проинсталены сразу у клиентов нужно переводить в мойщики унитазов гг.
Цитата El Scorpio:
|
Почему же тогда второй компьютер открывает почтовый ящик? »
|
Насколько понял, у фетчмайла проверка сертификатов по умолчанию включена начиная с версии 6.4.
Цитата El Scorpio:
|
Или можно в настройках SSL отключить проверку цепочки? »
|
Можно, в настройках фетчмайла.
man fetchmail
--sslcertck
(Keyword: sslcertck, default enabled since v6.4.0)
--sslcertck causes fetchmail to require that SSL/TLS be used and disconnect if it can not successfully negotiate SSL or TLS, or if it cannot successfully verify and validate the certificate and follow it to a trust anchor (or trusted root certificate). The trust anchors are given as a set of local trusted certificates (see the sslcertfile and sslcertpath options). If the server certificate cannot be obtained or is not signed by one of the trusted ones (directly or indirectly), fetchmail will disconnect, regardless of the sslfingerprint option.
Note that CRL (certificate revocation lists) are only supported in OpenSSL 0.9.7 and newer! Your system clock should also be reasonably accurate when using this option.
--nosslcertck
(Keyword: no sslcertck, only in v6.4.X)
The opposite of --sslcertck, this is a discouraged option. It permits fetchmail to continue connecting even if the server certificate failed the verification checks. Should only be used together with --sslfingerprint.
