dovecot: imap-login // SSL_get_servername
Alexander Dallou
ad+lists at uni-x.org
So Sep 8 02:35:42 CEST 2024
Am 08.09.2024 um 00:28 schrieb Nico Funke via Postfixbuch-users:
> Das ist die Ausgabe:
> echo QUIT | openssl s_client -connect mail.anarchydica.net:993
>
> CONNECTED(00000003)
> depth=0 CN = anarchydica.net
> verify error:num=20:unable to get local issuer certificate
> verify return:1
> depth=0 CN = anarchydica.net
> verify error:num=21:unable to verify the first certificate
> verify return:1
> depth=0 CN = anarchydica.net
> verify return:1
> ---
> Certificate chain
> 0 s:CN = anarchydica.net
> i:C = US, O = DigiCert Inc, OU = www.digicert.com, CN = Thawte
> TLS RSA CA G1
> a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
> v:NotBefore: Jun 28 00:00:00 2024 GMT; NotAfter: Jun 27 23:59:59
> 2025 GMT
1. Das Server Zertifikat ist auf anarchydica.net ausgestellt, nicht
mail.anarchydica.net. Der MX Record zeigt auf mail.anarchydica.net, ergo
wirst Du mit dem Zertifikat keine Freude haben.
2. Ausgestellt wurde das Server Zertifikat von der SubCA "Thawte TLS RSA
CA G1". Siehe
https://www.digicert.com/kb/digicert-root-certificates.htm. Du lieferst
diese SubCA aber serverseitig nicht zusammen mit dem Serverzertifikat
aus. Also scheitert die Validierung der Chain of Trust.
Alexander
Mehr Informationen über die Mailingliste Postfixbuch-users