Al Bogner
Einer meiner ISPs hat sein Zertifikat geändert.
fetchmail: Warning: server certificate verification: certificate has expired 12777:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842: fetchmail: SSL connection failed.
Nachdem ich den Fingerprint in .fetchmailrc geändert habe, werden Mails wieder abgefragt, aber es kommt folgende Meldung.
fetchmail: Warnung: Server-Zertifikat-Überprüfung: unable to get local issuer certificate 26676:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842:
Wie komme ich nun zum neuen Zertifikat bzw. welches ist da überhaupt betroffen?
Üblicherweise werden die Certificate Authorities (cacert.pem) von VeriSign et.al. in /etc/ssl/certs hinterlegt, Vermutlich hat dein ISP sein Serverzertifikat mit einem neuen CA signiert, das noch nicht weit verbreitet ist. Mit dem Befehl openssl s_client -connect host.domain:port -showcerts kannst du die Zertifikat-Kette auslesen und gegebenfalls prüfen welche CA verwendet wird. Gegebenenfalls kannst du dir mit Mozilla die CA von deinem ISP holen (https://dein.isp:995). Oder als Alternative die Option sslcertck in ~/.fetchmailrc entfernen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328