[Eisfair] [E1]: Mail: SSL-Problem

Rolf Bensch azubi at bensch-net.de
Sa Apr 12 13:19:56 CEST 2014 

Hallo MArcus,

> Wie sieht die Zertifikatskette des Providerzertifikats aus?

habe mich mit der gesamten Thematik noch nicht richtig 
auseinandergesetzt. Ich versuch's einfach mal:

openssl s_client -connect 23643.whserv.de:443 -showcerts
CONNECTED(00000003)
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = 
*.whserv.de
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = 
*.whserv.de
verify error:num=27:certificate not trusted
verify return:1
depth=0 OU = Domain Control Validated, OU = PositiveSSL Wildcard, CN = 
*.whserv.de
verify error:num=21:unable to verify the first certificate
verify return:1
... dann folgen zwei Zertifikate. Am Ende dann:
SSL-Session:
     Protocol  : TLSv1
     Cipher    : DHE-RSA-AES256-SHA
     Session-ID: ...
     Session-ID-ctx:
     Master-Key: ...
     Key-Arg   : None
     PSK identity: None
     PSK identity hint: None
     SRP username: None
     TLS session ticket:	
     ....
     Start Time: 1397301208
     Timeout   : 300 (sec)
     Verify return code: 21 (unable to verify the first certificate)


> Hat der Provider kürzlich sein Zertifikat ausgetauscht? Ist das eventuell
> automatisch durch mein mail-addon-certs Paket geschehen?

Die Zertifikate wurden ausgetauscht. mail-addon-certs habe ich soeben 
installiert und dabei einige weitere Updates gezogen. Die Konfig wurde 
über Mail -> Module upgedatet. Keine Besserung.

> Jedenfalls ist die Zertifikatskette unvollständig.
>
> Zunächst fehlt dir das zweite Downloadangebot von
>
> https://support.comodo.com/index.php?_m=downloads&_a=view&parentcategoryid=4
>
> Im Zuge von Heartbleed mussten einige Zertifkate (wohl auch
> Zwischenzertifikate) erneuert werden.
>
>> im CERTS-Paket ausgeführt:
>>      9. Download ca certificate bundle
>
> Falls ein neues Zwischenzertifikat fehlt, hilft das nicht, da das Bundle
> schon älter ist.

Das habe ich vor der Installation des mail-addon_certs gemacht. 
Ebenfalls ohne Verbesserung der Lage.

Wie muss ich das alles interpretieren? Was kann ich noch tun?

tnx

Rolf

Mehr Informationen über die Mailingliste Eisfair