[Eisfair] mail 1.12.9 - SSL verify
Silas Jansen
mechman at gmx.de
Di Okt 11 11:04:25 CEST 2016
Hallo Markus,
Am Dienstag, 11. Oktober 2016 10:20:00 UTC+2 schrieb Marcus Roeckrath:
> Hallo Silas,
>
> Silas Jansen wrote:
>
> > durch die Umstellung bei GMX gestern ist mir aufgefallen, dass Exim die
> > Zertifikate nicht korrekt verifiziert. Mir fehlte eine CRL und trotzdem
> > sind die Mails verschickt worden, ein SSL verify error tauchte aber
> > korrekt im Log auf. Ich habe das ganze daher nochmal auf einem Testsystem
> > nach gebaut, das keine Zertifikate und CRLs installiert hat.
>
> Ein CRL ist kein Serverzertifikat.
Schon klar, aber wenn die CRL nicht geprüft werden kann, dürfte doch keine Verbindung aufgebaut werden.
> [Testsystem ohne Zertifikate]
> > Also korrekt wie ich das erwarte, senden schlägt fehlt.
>
> [System mit Zertifikaten aber fehlendem CRL]
> > Die Mail geht also raus, obwohl es SSL verify errors gibt.
>
> IMHO erstmal ok, weil auf dem System ja die Serverzertifikate vorhanden
> sind; angemeckert werden fehlende CRLs.
Ich habe /var/certs/ssl/certs/ und /var/certs/ssl/certs/ geleert, es handelt sich jedes mal um das gleiche System, nur mit verschiedenen Versionen des Mail Pakets.
Die eine Version sendet nicht bei einem Verify Error, die aktuelle schon. Als wenn die Zertifikate gar nicht geprüft werden. Das ist doch nicht ok?
> Du kannst im Certs-Menü mal "Update revocation list(s)" ausführen.
Klar, damit räume ich das auf. Aber ich mache ja den Gegentest, was passiert, wenn es Probleme mit den Zertifikaten gibt.
Grüße
Silas
Mehr Informationen über die Mailingliste Eisfair