Am Samstag, 11. September 2004 23:36 schrieb Dieter Kluenter:
Einer meiner ISPs hat sein Zertifikat geändert.
fetchmail: Warning: server certificate verification: certificate has expired 12777:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842: fetchmail: SSL connection failed.
Nachdem ich den Fingerprint in .fetchmailrc geändert habe, werden Mails wieder abgefragt, aber es kommt folgende Meldung.
fetchmail: Warnung: Server-Zertifikat-Überprüfung: unable to get local issuer certificate 26676:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842:
Wie komme ich nun zum neuen Zertifikat bzw. welches ist da überhaupt betroffen?
Üblicherweise werden die Certificate Authorities (cacert.pem) von VeriSign et.al. in /etc/ssl/certs hinterlegt, Vermutlich hat dein ISP sein Serverzertifikat mit einem neuen CA signiert, das noch nicht weit verbreitet ist.
Hier wundere ich mich eben, es ist von Thawte fetchmail: 6.2.5 fragt ab mail.utanet.at (Protokoll POP3) um So 12 Sep 2004 00:07:15 CEST: Abfrage gestartet fetchmail: POP3< +OK POP3 - Hello, sailor! patricia.utanet.at fetchmail: POP3> CAPA fetchmail: POP3< +OK Capability list follows fetchmail: POP3< TOP fetchmail: POP3< UIDL fetchmail: POP3< USER fetchmail: POP3< STLS fetchmail: POP3< . fetchmail: POP3> STLS fetchmail: POP3< +OK STLS waiting for ... fetchmail: Herausgeber-Organisation: Thawte Consulting (Pty) Ltd. fetchmail: Herausgeber-CommonName: Thawte SGC CA fetchmail: Server-CommonName: mail.utanet.at fetchmail: mail.utanet.at-Schlüssel-Fingerabdruck: 5D:37:B8:BF:0B:12:CE:41:63:22:E6:87:30:40:07:83 fetchmail: mail.utanet.at-Fingerabdrücke stimmen überein. fetchmail: POP3< +OK POP3 - Hello, sailor! paris.utanet.at fetchmail: POP3> CAPA fetchmail: POP3< +OK Capability list follows fetchmail: POP3< TOP fetchmail: POP3< UIDL fetchmail: POP3< USER fetchmail: POP3< STLS fetchmail: POP3< . fetchmail: POP3> USER $login fetchmail: POP3< +OK USER $login set fetchmail: POP3> PASS * fetchmail: POP3< +OK You are so in. fetchmail: POP3> STAT fetchmail: POP3< +OK 0 0 fetchmail: Keine Post für $login bei mail.utanet.at fetchmail: POP3> QUIT fetchmail: POP3< +OK Been nice to serve you. fetchmail: 6.2.5 fragt ab mail.utanet.at (Protokoll POP3) um So 12 Sep 2004 00:07:18 CEST: Abfrage beendet Hier steht also etwas von Thawte SGC C_A_ ls -1 /etc/ssl/certs/thawteC* /etc/ssl/certs/thawteCb.pem /etc/ssl/certs/thawteCp.pem Fehlt mir also ein thawteCa.pem?
Mit dem Befehl openssl s_client -connect host.domain:port -showcerts kannst du die Zertifikat-Kette auslesen und gegebenfalls prüfen welche CA verwendet wird.
openssl s_client -connect mail.utanet.at:995 -showcerts -CAfile /etc/ssl/certs/thawteCb.pem CONNECTED(00000003) depth=1 /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com verify return:1 depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=10:certificate has expired openssl s_client -connect mail.utanet.at:995 -showcerts -CAfile /etc/ssl/certs/thawteCp.pem CONNECTED(00000003) depth=1 /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com verify return:1 depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=10:certificate has expired
Gegebenenfalls kannst du dir mit Mozilla die CA von deinem ISP holen (https://dein.isp:995).
Funktioniert leider nicht.
Oder als Alternative die Option sslcertck in ~/.fetchmailrc entfernen.
Ok, aber diese Variante gefällt mir am wenigsten. Al