Am Sa, 26 Mär 2011 22:22:06 CET schrieb Dieter Kluenter: Hallo Dieter,
dieter@rubin:~> openssl s_client -connect pop.gmail.com:995 -tls1 /dev/null | openssl x509 -subject -dates -fingerprint -md5 -noout
Und hier ist dann auch gleich das Ergebnis:
subject= /C=US/ST=California/L=Mountain View/O=Google Inc/CN=pop.gmail.com notBefore=Apr 22 20:11:23 2010 GMT notAfter=Apr 22 20:21:23 2011 GMT MD5 Fingerprint=6B:C4:63:05:87:1E:72:88:ED:81:C5:A2:51:6B:B7:B6
Ich habe hier:
options ssl sslfingerprint '6B:C4:63:05:87:1E:72:88:ED:81:C5:A2:51:6B:B7:B6' sslcertck sslcertpath /etc/ssl/certs
und manchmal kommt:
fetchmail: pop.gmail.com fingerprints do not match! 140046380181160:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:1060: fetchmail: SSL connection failed.
Dann hole dir das Certificate von den entsprechenden Hosts, vermutlich ist das dann ein altes Certificate, dessen Wert für 'notAfter: möglicherweise schon abgelaufen ist.
Verstehe ich da was falsch, oder muss ich so lange mit fetchmail manuell abfragen, bis die Fehlermeldung kommt? Nach 10x abfragen, habe ich aufgegeben.
JA! DU VERSTEHST ETWAS FALSCH! Ich habe beschrieben, wie du den aktuellen Fingerprint von pop.gmail.com erstellen kannst.
Ok, genau den verwende ich. AFAIK wird er 1x pro Jahr gewechselt.
Das hat nichts, aber auch gar nichts mit fetchmail zu tun!
Na ja, IMHO indirekt schon. Wenn der Fingerprint nicht passt, wird von fetchmail der erwähnt der erwartet wird und den kann man dann zu verifizieren versuchen, zB mit dem von dir erwähnten Befehl.
Weiterhin habe ich beschrieben, wie du dir das aktuelle Certifikate von pop.gmail.com holen kannst, auch dieses hat nichts mit fetchmail zu tun.
Wenn ich manuell abfrage, dann gab es noch nie Probleme, nur der Cronjob sendet von Zeit zu Zeit Warnmails.
Ich vermute, daß die Fehlermeldung von fetchmail nicht richtig ist. Ich gehe davon aus, dass pop.gmail.com zeitweilig verspätet antwortet, dies wird von fetchmail nach einem kurzen timeout als Fehler interpretiert.
Wäre möglich. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org