[Eisfair] mail 1.12.9 - SSL verify
Juergen Edner
juergen at eisfair.org
Di Okt 11 17:29:37 CEST 2016
Hallo Silas,
>> IMHO erstmal ok, weil auf dem System ja die Serverzertifikate vorhanden
>> sind; angemeckert werden fehlende CRLs.
>
> Ich habe /var/certs/ssl/certs/ und /var/certs/ssl/certs/ geleert, es
> handelt sich jedes mal um das gleiche System, nur mit verschiedenen
> Versionen des Mail Pakets.
genau das Löschen der Zertifikate kann der Grund sein, warum es zu dem
von Dir beschriebenen Problem kommt. In der Dokumentation findet sich
u.a. folgender Hinweis:
http://www.exim.org/exim-html-current/doc/html/spec_html
/ch-encrypted_smtp_connections_using_tlsssl.html
If the *tls_verify_certificates* option is set on the smtp transport,
it specifies a collection of expected server certificates. These
may be the system default set (depending on library version), ...
or a directory (for OpenSSL only).
The client verifies the server’s certificate against this collection,
taking into account any revoked certificates that are in the list
defined by *tls_crl*. Failure to verify fails the TLS connection
unless either of the tls_verify_hosts or tls_try_verify_hosts options
are set.
Gruß Jürgen
--
Mail: juergen at eisfair.org
Mehr Informationen über die Mailingliste Eisfair