Hallo, Al Bogner <suse-linux@ml04c.pinguin.uni.cc> writes:
Am Samstag, 11. September 2004 23:36 schrieb Dieter Kluenter:
Einer meiner ISPs hat sein Zertifikat geändert. [...] fetchmail: Warnung: Server-Zertifikat-Überprüfung: unable to get local issuer certificate 26676:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:842: [...]
Hier wundere ich mich eben, es ist von Thawte [...] Hier steht also etwas von Thawte SGC C_A_
ls -1 /etc/ssl/certs/thawteC* /etc/ssl/certs/thawteCb.pem /etc/ssl/certs/thawteCp.pem
Fehlt mir also ein thawteCa.pem?
Mit dem Befehl openssl s_client -connect host.domain:port -showcerts kannst du die Zertifikat-Kette auslesen und gegebenfalls prüfen welche CA verwendet wird.
openssl s_client -connect mail.utanet.at:995 -showcerts -CAfile /etc/ssl/certs/thawteCb.pem CONNECTED(00000003) depth=1 /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com verify return:1 depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=10:certificate has expired [...]
Du gibst hier den Pfad auf CA vor, laß dir doch mal die gesamte Kette ausweisen, also den Befehl ohne -CAfile eingeben.
Gegebenenfalls kannst du dir mit Mozilla die CA von deinem ISP holen (https://dein.isp:995).
Funktioniert leider nicht.
Habe ich auch festgestellt, mit dem alten Netscape-4.7 konnte man auf diese Weise Zertifikate holen, es gab zwar Fehlermeldungen, aber das Zertifikat wurde ausgelesen und der eigenen Sammlung hinzugefügt.
Oder als Alternative die Option sslcertck in ~/.fetchmailrc entfernen.
Ok, aber diese Variante gefällt mir am wenigsten.
Ich habe mal mit 'openssl x509 -in /etc/ssl/certs/thawteCb.pem -text' beide CA ausgelesen, beide sind gültig bis 31.12.2020 Das Server-Zertifikat muß demnach ungültig sein Spasseshalber habe ich mal das Spielchen mit pop.gmx.net gemacht, da gibt es die gleichen Probleme. Es hat den Anschein, als ob die Provider das Thema SSL/TLS nicht alllzu ernst nehmen und 'man in the middle attacs' provozieren. Leider kann ich dir bei deinem Problem auch nicht weiterhelfen. Du kannst ja mal deinen ISP befragen, viellleicht bekommst du ja sogar Antwort. :-) -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:8C183C8622115328