Golub Mikhail wrote: >> -----Original Message----- >> From: Exim-users [mailto:exim-users-boun...@mailground.net] On Behalf >> Of Victor Ustugov >> Sent: Tuesday, July 28, 2015 10:08 PM >> To: Golub Mikhail >> Subject: Re: [Exim-users] Exim 4.86: SSL verify error >> >> скорее всего это ошибки проверки сертификата при проведении >> встречной проверки отправителя. > > Нет, такое происходит при отправке письма на внутренний Exchange, например. > На тестовом сервере сразу три ошибки: > SSL verify error: depth=0 error=unable to get local issuer certificate > cert=... > SSL verify error: depth=0 error=certificate not trusted cert=... > SSL verify error: depth=0 error=unable to verify the first certificate > cert=... > > А так при отправке на многие хосты в Интернете. > [108.174.3.215] SSL verify error: depth=1 error=certificate not trusted > cert=/C=US/O=DigiCert Inc/CN=DigiCert Secure Server CA > [93.171.218.25] SSL verify error: depth=2 error=self signed certificate in > certificate chain cert=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate > Signing/CN=StartCom Certification Authority > [91.208.52.158] SSL verify error: depth=1 error=unable to get local issuer > certificate cert=/C=US/O=thawte, Inc./CN=thawte SSL CA - G2 > ...
это понятно. я отвечал на "Ошибки в лог пишутся при приеме сообщений – или из мира, или с внутренних серверов." то, что эти ошибки появляются при отсылке писем - это понятно. но при приёме они появляться не должны. если такие сообщения об ошибках появляются при приёме письма, значит на самом деле была предпринята попытка если не отправки письма со стороны этого сервера, то по крайней мере была предпринята попытка проведения встречной проверки отправителя. > Как указывал dawnshade, параметр tls_verify_cert_hostnames пробовал добавлять > в транспорт. > Не помогает :( > И так tls_verify_cert_hostnames = * > И так tls_verify_cert_hostnames =!* tls_verify_cert_hostnames - это несколько другая история. этот параметр, судя по всему, должен отвечать за проверку соответствия имени хоста сервера значению Common Name сертификата. ну и ещё алиасы проверяются (имена хостов из поля Subject Alternative Name из X509v3 extensions сертификата). тот же WoGign подписывает сертификаты с немерянной кучей алиасов, даже из разных доменов. да и StartCom'овские сертификаты вроде идут с одним алиасом всегда. но при этом сам сертификат всё равно должен пройти проверку валидности. -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC _______________________________________________ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
