[Exim-users] TLS error on connection from
Здравствуйте, Exim-users. 2021-10-04 23:59:14 TLS error on connection from mail-out.emea.daimler.com [141.113.1.134] (SSL_accept): error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired я правильно понимаю что mail-out.emea.daimler.com, выступающий в роли клиента, дропает соединение тк считает что у меня просроченный серт? а серт с моей стороны вот такой * Server certificate: * subject: CN=mail.fcirkutsk.ru * start date: Aug 18 03:07:20 2021 GMT * expire date: Nov 16 03:07:18 2021 GMT * subjectAltName: host "mail.fcirkutsk.ru" matched cert's "mail.fcirkutsk.ru" * issuer: C=US; O=Let's Encrypt; CN=R3 * SSL certificate verify ok. -- С уважением, Alexander mailto:t...@irk.ru ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
Привет, Lets Encrypt - ожидаемо проблемный серт с 1 октября https://habr.com/ru/post/580092/ Чтобы не было гемора - купить коммерческий серт и забИть. Let's encrypt - ok для веба, но для вот таких применений с эшелонами легаси - это проблема. 5 жовтня 2021, 10:37:11, від "Alexander Titaev" : Здравствуйте, Exim-users. 2021-10-04 23:59:14 TLS error on connection from mail-out.emea.daimler.com [141.113.1.134] (SSL_accept): error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired я правильно понимаю что mail-out.emea.daimler.com, выступающий в роли клиента, дропает соединение тк считает что у меня просроченный серт? а серт с моей стороны вот такой * Server certificate: * subject: CN=mail.fcirkutsk.ru * start date: Aug 18 03:07:20 2021 GMT * expire date: Nov 16 03:07:18 2021 GMT * subjectAltName: host "mail.fcirkutsk.ru" matched cert's "mail.fcirkutsk.ru" * issuer: C=US; O=Let's Encrypt; CN=R3 * SSL certificate verify ok. -- С уважением, Alexander mailto:t...@irk.ru ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
Здравствуйте, Alexander. Вы писали 5 октября 2021 г., 15:36:35: > Здравствуйте, Exim-users. > 2021-10-04 23:59:14 TLS error on connection from mail-out.emea.daimler.com > [141.113.1.134] (SSL_accept): > error:14094415:SSL routines:ssl3_read_bytes:sslv3 alert certificate expired > я правильно понимаю что mail-out.emea.daimler.com, выступающий в роли > клиента, дропает соединение тк считает что у меня > просроченный серт? > а серт с моей стороны вот такой > * Server certificate: > * subject: CN=mail.fcirkutsk.ru > * start date: Aug 18 03:07:20 2021 GMT > * expire date: Nov 16 03:07:18 2021 GMT > * subjectAltName: host "mail.fcirkutsk.ru" matched cert's "mail.fcirkutsk.ru" > * issuer: C=US; O=Let's Encrypt; CN=R3 > * SSL certificate verify ok. вскрытие показало что той стороне не нравится цепочка Certificate chain 0 s:/CN=mail.fcirkutsk.ru i:/C=US/O=Let's Encrypt/CN=R3 1 s:/C=US/O=Let's Encrypt/CN=R3 i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1 i:/O=Digital Signature Trust Co./CN=DST Root CA X3 вернее наличие в ней DST Root CA X3 https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/ серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в ней остался. Ручная правка проблему решила. Но это костыль. Как быть? -- С уважением, Alexander mailto:t...@irk.ru ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
Hello! On Tue, 05 Oct 2021 at 16:30:47 (+0800), Alexander Titaev wrote: > вскрытие показало что той стороне не нравится цепочка > Certificate chain > 0 s:/CN=mail.fcirkutsk.ru >i:/C=US/O=Let's Encrypt/CN=R3 > 1 s:/C=US/O=Let's Encrypt/CN=R3 >i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1 > 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1 >i:/O=Digital Signature Trust Co./CN=DST Root CA X3 > вернее наличие в ней DST Root CA X3 > https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/ > серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в > ней остался. Ручная правка проблему решила. > Но это костыль. Как быть? Обновить certbot и перевыпустить сертификат с указанием preferred-chain (с) мопед не мой https://stackoverflow.com/questions/69397845/trust-issue-while-sending-a-post-to-my-api-since-dst-root-ca-x3-expiration -- George L. Yermulnik [YZ-RIPE] ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
Здравствуйте, George. Вы писали 5 октября 2021 г., 18:45:57: > Hello! > On Tue, 05 Oct 2021 at 16:30:47 (+0800), Alexander Titaev wrote: >> вскрытие показало что той стороне не нравится цепочка >> Certificate chain >> 0 s:/CN=mail.fcirkutsk.ru >>i:/C=US/O=Let's Encrypt/CN=R3 >> 1 s:/C=US/O=Let's Encrypt/CN=R3 >>i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1 >> 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1 >>i:/O=Digital Signature Trust Co./CN=DST Root CA X3 >> вернее наличие в ней DST Root CA X3 >> https://docs.certifytheweb.com/docs/kb/kb-202109-letsencrypt/ >> серт удалил и выпустил по новой (ессно все средствами certbot), но CA X3 в >> ней остался. Ручная правка проблему решила. >> Но это костыль. Как быть? > Обновить certbot и перевыпустить сертификат с указанием preferred-chain (с) > мопед не мой > https://stackoverflow.com/questions/69397845/trust-issue-while-sending-a-post-to-my-api-since-dst-root-ca-x3-expiration в моем случае помогло обновление pkg upgrade ca_root_nss и перевыпуск сертификата -- С уважением, Alexander mailto:t...@irk.ru ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
Hello! On Tue, 05 Oct 2021 at 19:15:58 (+0800), Alexander Titaev wrote: > в моем случае помогло обновление > pkg upgrade ca_root_nss > и перевыпуск сертификата Хм-м, я из устанавливаемых им файлов руками DST Root удалял на днях. Сейчас специально переустановил и DST Root вернулся (ca_root_nss-3.69_1). Правда, я порты использую. -- George L. Yermulnik [YZ-RIPE] ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
05.10.2021, Vladimir Sharun написал(а): > Lets Encrypt - ожидаемо проблемный серт с 1 октября > > https://habr.com/ru/post/580092/ Они там немного загнули. У нас парк машин - на XP сертификат уже невалиден, как и на части семёрок. Автообновление сертфикатов в винде включено, по умолчанию. Меньше всего проблем с Мозиллой - у неё своё хранилище. > Чтобы не было гемора - купить коммерческий серт и забИть. Проблема древних OpenSSL лечится простейшим патчиком: https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/032_cert.patch.sig После него, весь слинкованный софт нормально работает. Вот ещё инфа по теме: https://www.opennet.ru/opennews/art.shtml?num=55875 -- Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
Привет, Let's Encrypt сертификат - это хороший продукт для внутренних продуктов организации и для таких внешних продуктов, которые "это твоя проблема, что ты не можешь посмотреть контент под этим сертом". Т.е. юзер скорее внутренне мотивирован преодолеть барьер "мне нужен этот контент". Для сервисов, где требуется получить максимальный охват в т.ч. старых клиентов, Let's Encrypt - опасность. По-этому с точки зрения времени и денег дешевле купить серт, он стоит точно меньше времени, которое будет в итоге потрачено на имплементацию и пост-проверки. 5 жовтня 2021, 14:46:09, від "Alexander Sheiko" : 05.10.2021, Vladimir Sharun написал(а): > Lets Encrypt - ожидаемо проблемный серт с 1 октября > > https://habr.com/ru/post/580092/ Они там немного загнули. У нас парк машин - на XP сертификат уже невалиден, как и на части семёрок. Автообновление сертфикатов в винде включено, по умолчанию. Меньше всего проблем с Мозиллой - у неё своё хранилище. > Чтобы не было гемора - купить коммерческий серт и забИть. Проблема древних OpenSSL лечится простейшим патчиком: https://ftp.openbsd.org/pub/OpenBSD/patches/6.8/common/032_cert.patch.sig После него, весь слинкованный софт нормально работает. Вот ещё инфа по теме: https://www.opennet.ru/opennews/art.shtml?num=55875 -- Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
05.10.2021, Vladimir Sharun написал(а): > Для сервисов, где требуется получить максимальный охват в т.ч. старых > клиентов, Let's Encrypt - опасность. > > По-этому с точки зрения времени и денег дешевле купить серт, он стоит точно > меньше времени, которое будет в итоге потрачено на имплементацию и > пост-проверки. Похоже, что платные сертификаты скоро станут актуальными, лишь для сервисов, вроде банковских: -- Сейчас Let’s Encrypt — самый популярный центр сертификации в мире. По данным с официального сайта компании в мире 158 миллионов активных сертификатов Let’s Encrypt, а за всё время компания выпустила уже больше миллиарда сертификатов. Lets Encrypt сертификат — доля на рынке SSL Статистика использования SSL-сертификатов на 9 апреля 2021. Скриншот с сайта w3techs.com: https://hostiq.ua/wiki/wp-content/uploads/2017/05/00-how-to-install-lets-encrypt-ssl-compressed.png На скриншоте сертификаты Let’s Encrypt представлены в основном как IdenTrust, а не как Let’s Encrypt. Это потому что в 2015 году компании заключили договор. -- Проблема то не в сертификатах Let's Encrypt, а в некорректной обработке их частью клиентов, когда есть две подписи и одна просрочена. Искусственное устаревание браузеров - общая тенденция в мире. В старых браузерах многие новые сайты вообще не грузятся. В первую очередь - самые популярные в мире сервисы. Поэтому - ограничения, из-за некорректной проверки сертификата, здесь будут не самыми актуальными. Opera 12.18 всё ещё прекрасно понимает Let's Encrypt, но попробуйте посмотреть в ней те же сервисы гугла или фейсбука. Короче говоря - грабли лежат совсем с другой стороны. -- Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
Привет, Да самый простой тест - это посмотреть серты на сайтах, на которые ты ходишь каждый день. И там Let's Encrypt'а будет другая статистика. 5 жовтня 2021, 18:44:25, від "Alexander Sheiko" : 05.10.2021, Vladimir Sharun написал(а): > Для сервисов, где требуется получить максимальный охват в т.ч. старых > клиентов, Let's Encrypt - опасность. > > По-этому с точки зрения времени и денег дешевле купить серт, он стоит точно > меньше времени, которое будет в итоге потрачено на имплементацию и > пост-проверки. Похоже, что платные сертификаты скоро станут актуальными, лишь для сервисов, вроде банковских: -- Сейчас Let’s Encrypt — самый популярный центр сертификации в мире. По данным с официального сайта компании в мире 158 миллионов активных сертификатов Let’s Encrypt, а за всё время компания выпустила уже больше миллиарда сертификатов. Lets Encrypt сертификат — доля на рынке SSL Статистика использования SSL-сертификатов на 9 апреля 2021. Скриншот с сайта w3techs.com: https://hostiq.ua/wiki/wp-content/uploads/2017/05/00-how-to-install-lets-encrypt-ssl-compressed.png На скриншоте сертификаты Let’s Encrypt представлены в основном как IdenTrust, а не как Let’s Encrypt. Это потому что в 2015 году компании заключили договор. -- Проблема то не в сертификатах Let's Encrypt, а в некорректной обработке их частью клиентов, когда есть две подписи и одна просрочена. Искусственное устаревание браузеров - общая тенденция в мире. В старых браузерах многие новые сайты вообще не грузятся. В первую очередь - самые популярные в мире сервисы. Поэтому - ограничения, из-за некорректной проверки сертификата, здесь будут не самыми актуальными. Opera 12.18 всё ещё прекрасно понимает Let's Encrypt, но попробуйте посмотреть в ней те же сервисы гугла или фейсбука. Короче говоря - грабли лежат совсем с другой стороны. -- Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
05.10.2021, Vladimir Sharun написал(а): > Да самый простой тест - это посмотреть серты на сайтах, на которые ты ходишь > каждый день. > И там Let's Encrypt'а будет другая статистика. В старых браузерах и ОС их будет проблемно смотреть, совершенно не из-за сертификатов. -- Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
05.10.2021, George L. Yermulnik написал(а): > Обновить certbot и перевыпустить сертификат с указанием preferred-chain (с) > мопед не мой > https://stackoverflow.com/questions/69397845/trust-issue-while-sending-a-post-to-my-api-since-dst-root-ca-x3-expiration Помогло для Оперы 12.18, поскольку сегодня вечером DSTROOTCAX3CRL.crt уже выпилен с сайта: TCP_NEGATIVE_HIT/404 1125 GET http://crl.identrust.com/DSTROOTCAX3CRL.crl (на сертификат не ругается, просто пишет, что соединение небезопасно - не может вытащить этот DSTROOTCAX3CRL.crl) К слову - certbot жуткий тормоз и монстр, в сравнении с acme.sh, Перманентный рецепт для последнего - в самом низу страницы по ссылке: https://github.com/acmesh-official/acme.sh/wiki/Preferred-Chain acme.sh --set-default-chain --preferred-chain "ISRG" --server letsencrypt -- Alexander Sheiko ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] TLS error on connection from
Здравствуйте, George. Вы писали 5 октября 2021 г., 19:30:33: > Hello! > On Tue, 05 Oct 2021 at 19:15:58 (+0800), Alexander Titaev wrote: >> в моем случае помогло обновление >> pkg upgrade ca_root_nss >> и перевыпуск сертификата > Хм-м, я из устанавливаемых им файлов руками DST Root удалял на днях. > Сейчас специально переустановил и DST Root вернулся (ca_root_nss-3.69_1). > Правда, я порты использую. да проглядел, надо еще certbot renew --preferred-chain "ISRG Root X1" --force-renewal -- С уважением, Alexander mailto:t...@irk.ru ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users