unable to get local issuer certificate
Einer meiner ISPs hat sein Zertifikat geändert. fetchmail: Warning: server certificate verification: certificate has expired 12777:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842: fetchmail: SSL connection failed. Nachdem ich den Fingerprint in .fetchmailrc geändert habe, werden Mails wieder abgefragt, aber es kommt folgende Meldung. fetchmail: Warnung: Server-Zertifikat-Überprüfung: unable to get local issuer certificate 26676:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842: Wie komme ich nun zum neuen Zertifikat bzw. welches ist da überhaupt betroffen? Al
Al Bogner
Einer meiner ISPs hat sein Zertifikat geändert.
fetchmail: Warning: server certificate verification: certificate has expired 12777:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842: fetchmail: SSL connection failed.
Nachdem ich den Fingerprint in .fetchmailrc geändert habe, werden Mails wieder abgefragt, aber es kommt folgende Meldung.
fetchmail: Warnung: Server-Zertifikat-Überprüfung: unable to get local issuer certificate 26676:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842:
Wie komme ich nun zum neuen Zertifikat bzw. welches ist da überhaupt betroffen?
Üblicherweise werden die Certificate Authorities (cacert.pem) von VeriSign et.al. in /etc/ssl/certs hinterlegt, Vermutlich hat dein ISP sein Serverzertifikat mit einem neuen CA signiert, das noch nicht weit verbreitet ist. Mit dem Befehl openssl s_client -connect host.domain:port -showcerts kannst du die Zertifikat-Kette auslesen und gegebenfalls prüfen welche CA verwendet wird. Gegebenenfalls kannst du dir mit Mozilla die CA von deinem ISP holen (https://dein.isp:995). Oder als Alternative die Option sslcertck in ~/.fetchmailrc entfernen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Am Samstag, 11. September 2004 23:36 schrieb Dieter Kluenter:
Einer meiner ISPs hat sein Zertifikat geändert.
fetchmail: Warning: server certificate verification: certificate has expired 12777:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842: fetchmail: SSL connection failed.
Nachdem ich den Fingerprint in .fetchmailrc geändert habe, werden Mails wieder abgefragt, aber es kommt folgende Meldung.
fetchmail: Warnung: Server-Zertifikat-Überprüfung: unable to get local issuer certificate 26676:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842:
Wie komme ich nun zum neuen Zertifikat bzw. welches ist da überhaupt betroffen?
Üblicherweise werden die Certificate Authorities (cacert.pem) von VeriSign et.al. in /etc/ssl/certs hinterlegt, Vermutlich hat dein ISP sein Serverzertifikat mit einem neuen CA signiert, das noch nicht weit verbreitet ist.
Hier wundere ich mich eben, es ist von Thawte fetchmail: 6.2.5 fragt ab mail.utanet.at (Protokoll POP3) um So 12 Sep 2004 00:07:15 CEST: Abfrage gestartet fetchmail: POP3< +OK POP3 - Hello, sailor! patricia.utanet.at fetchmail: POP3> CAPA fetchmail: POP3< +OK Capability list follows fetchmail: POP3< TOP fetchmail: POP3< UIDL fetchmail: POP3< USER fetchmail: POP3< STLS fetchmail: POP3< . fetchmail: POP3> STLS fetchmail: POP3< +OK STLS waiting for ... fetchmail: Herausgeber-Organisation: Thawte Consulting (Pty) Ltd. fetchmail: Herausgeber-CommonName: Thawte SGC CA fetchmail: Server-CommonName: mail.utanet.at fetchmail: mail.utanet.at-Schlüssel-Fingerabdruck: 5D:37:B8:BF:0B:12:CE:41:63:22:E6:87:30:40:07:83 fetchmail: mail.utanet.at-Fingerabdrücke stimmen überein. fetchmail: POP3< +OK POP3 - Hello, sailor! paris.utanet.at fetchmail: POP3> CAPA fetchmail: POP3< +OK Capability list follows fetchmail: POP3< TOP fetchmail: POP3< UIDL fetchmail: POP3< USER fetchmail: POP3< STLS fetchmail: POP3< . fetchmail: POP3> USER $login fetchmail: POP3< +OK USER $login set fetchmail: POP3> PASS * fetchmail: POP3< +OK You are so in. fetchmail: POP3> STAT fetchmail: POP3< +OK 0 0 fetchmail: Keine Post für $login bei mail.utanet.at fetchmail: POP3> QUIT fetchmail: POP3< +OK Been nice to serve you. fetchmail: 6.2.5 fragt ab mail.utanet.at (Protokoll POP3) um So 12 Sep 2004 00:07:18 CEST: Abfrage beendet Hier steht also etwas von Thawte SGC C_A_ ls -1 /etc/ssl/certs/thawteC* /etc/ssl/certs/thawteCb.pem /etc/ssl/certs/thawteCp.pem Fehlt mir also ein thawteCa.pem?
Mit dem Befehl openssl s_client -connect host.domain:port -showcerts kannst du die Zertifikat-Kette auslesen und gegebenfalls prüfen welche CA verwendet wird.
openssl s_client -connect mail.utanet.at:995 -showcerts -CAfile /etc/ssl/certs/thawteCb.pem CONNECTED(00000003) depth=1 /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com verify return:1 depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=10:certificate has expired openssl s_client -connect mail.utanet.at:995 -showcerts -CAfile /etc/ssl/certs/thawteCp.pem CONNECTED(00000003) depth=1 /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com verify return:1 depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=10:certificate has expired
Gegebenenfalls kannst du dir mit Mozilla die CA von deinem ISP holen (https://dein.isp:995).
Funktioniert leider nicht.
Oder als Alternative die Option sslcertck in ~/.fetchmailrc entfernen.
Ok, aber diese Variante gefällt mir am wenigsten. Al
Hallo,
Al Bogner
Am Samstag, 11. September 2004 23:36 schrieb Dieter Kluenter:
Einer meiner ISPs hat sein Zertifikat geändert. [...] fetchmail: Warnung: Server-Zertifikat-Überprüfung: unable to get local issuer certificate 26676:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842: [...]
Hier wundere ich mich eben, es ist von Thawte [...] Hier steht also etwas von Thawte SGC C_A_
ls -1 /etc/ssl/certs/thawteC* /etc/ssl/certs/thawteCb.pem /etc/ssl/certs/thawteCp.pem
Fehlt mir also ein thawteCa.pem?
Mit dem Befehl openssl s_client -connect host.domain:port -showcerts kannst du die Zertifikat-Kette auslesen und gegebenfalls prüfen welche CA verwendet wird.
openssl s_client -connect mail.utanet.at:995 -showcerts -CAfile /etc/ssl/certs/thawteCb.pem CONNECTED(00000003) depth=1 /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com verify return:1 depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=10:certificate has expired [...]
Du gibst hier den Pfad auf CA vor, laß dir doch mal die gesamte Kette ausweisen, also den Befehl ohne -CAfile eingeben.
Gegebenenfalls kannst du dir mit Mozilla die CA von deinem ISP holen (https://dein.isp:995).
Funktioniert leider nicht.
Habe ich auch festgestellt, mit dem alten Netscape-4.7 konnte man auf diese Weise Zertifikate holen, es gab zwar Fehlermeldungen, aber das Zertifikat wurde ausgelesen und der eigenen Sammlung hinzugefügt.
Oder als Alternative die Option sslcertck in ~/.fetchmailrc entfernen.
Ok, aber diese Variante gefällt mir am wenigsten.
Ich habe mal mit 'openssl x509 -in /etc/ssl/certs/thawteCb.pem -text' beide CA ausgelesen, beide sind gültig bis 31.12.2020 Das Server-Zertifikat muß demnach ungültig sein Spasseshalber habe ich mal das Spielchen mit pop.gmx.net gemacht, da gibt es die gleichen Probleme. Es hat den Anschein, als ob die Provider das Thema SSL/TLS nicht alllzu ernst nehmen und 'man in the middle attacs' provozieren. Leider kann ich dir bei deinem Problem auch nicht weiterhelfen. Du kannst ja mal deinen ISP befragen, viellleicht bekommst du ja sogar Antwort. :-) -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328
Am Sonntag, 12. September 2004 07:47 schrieb Dieter Kluenter:
Du gibst hier den Pfad auf CA vor, laß dir doch mal die gesamte Kette ausweisen, also den Befehl ohne -CAfile eingeben.
~> openssl s_client -connect mail.utanet.at:995 -showcerts CONNECTED(00000003) depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=27:certificate not trusted verify return:1 depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com -----BEGIN CERTIFICATE----- MIIDJzCCApCgAwIBAgIDHvBAMA0GCSqGSIb3DQEBBAUAMIHEMQswCQYDVQQGEwJa QTEVMBMGA1UECBMMV2VzdGVybiBDYXBlMRIwEAYDVQQHEwlDYXBlIFRvd24xHTAb BgNVBAoTFFRoYXd0ZSBDb25zdWx0aW5nIGNjMSgwJgYDVQQLEx9DZXJ0aWZpY2F0 aW9uIFNlcnZpY2VzIERpdmlzaW9uMRkwFwYDVQQDExBUaGF3dGUgU2VydmVyIENB MSYwJAYJKoZIhvcNAQkBFhdzZXJ2ZXItY2VydHNAdGhhd3RlLmNvbTAeFw0wMzA4 MjYxNDMzNTJaFw0wNDA5MTExMjIyMjVaMHUxCzAJBgNVBAYTAkFUMQ8wDQYDVQQI EwZWaWVubmExDzANBgNVBAcTBlZpZW5uYTEXMBUGA1UEChMOVVRBIFRlbGVrb20g QUcxEjAQBgNVBAsTCVRJUy5TRS5VWDEXMBUGA1UEAxMObWFpbC51dGFuZXQuYXQw gZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAOD5D9+sKyNvAVxDV/0fdffIY2Lb YRhLVfuaErDzj2t331glJHhrcryLxutpnNWZlKG/mbBEpzld3dLUa7p2Ik1J3XUj 2uarLg9dPUL9tLfC9qfBQR/IAZv+JqBsriYvCUBHxIrHpykSBy2TU1XkbCoRRP+z A4p6Zp68152WTO/NAgMBAAGjdTBzMCgGA1UdJQQhMB8GCCsGAQUFBwMBBggrBgEF BQcDAgYJYIZIAYb4QgQBMDkGA1UdHwQyMDAwLqAsoCqGKGh0dHA6Ly9jcmwudGhh d3RlLmNvbS9UaGF3dGVTZXJ2ZXJDQS5jcmwwDAYDVR0TAQH/BAIwADANBgkqhkiG 9w0BAQQFAAOBgQBGb4v0x11RzsccQY3bZ78Fr/S0bAMV5YOgxlsaPtCErl/7iMAk n24xnsQAmnX25N/HE7WL8SPbjFsI2Iv0OTDMIYb3o34yAuo4PsUyaLSJkGwx+JH2 kBzYSjbw2z9x9UD6KN7rxPHoT4NbcEkAHNxGHJPz9FQdJ36Bw7MbzkrTYw== -----END CERTIFICATE----- --- Server certificate subject=/C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at issuer=/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com --- No client certificate CA names sent --- SSL handshake has read 965 bytes and written 332 bytes --- New, TLSv1/SSLv3, Cipher is DES-CBC3-SHA Server public key is 1024 bit SSL-Session: Protocol : TLSv1 Cipher : DES-CBC3-SHA Session-ID: 4882FFF5E5B9CA4BC9768CFDD181F9BD51050BB4B35B9E4DEC528F3B2DF2CEB8 Session-ID-ctx: Master-Key: 5863AD6CCDCC2955D376F654F935DECEA05727081A1368541E5CB8C09041F9979CE2672D2AB2387863413153E479861D Key-Arg : None Start Time: 1095024119 Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) --- +OK POP3 - Hello, sailor! plenty.utanet.at
Es hat den Anschein, als ob die Provider das Thema SSL/TLS nicht alllzu ernst nehmen und 'man in the middle attacs' provozieren.
Also die UTA sind wohl ziemlich fortschrittlich was TLS betrifft und haben auch schon Fehler korrigiert, nachdem ich sie darauf aufmerksam gemacht habe. Aber in diesem Fall ist mir nicht klar, ob ich ein lokales Problem habe. Al
participants (2)
-
Al Bogner
-
Dieter Kluenter