Re: gmail untrusted

[S e r g e <serge@srv0.ath.cx>]

Le Saturday 15 August 2009 16:18:39 Jean-Yves F. Barbier, vous avez écrit :
> Nicolas KOWALSKI a écrit :
> > "Jean-Yves F. Barbier" <12ukwn@gmail.com> writes:
> >> Depuis le 11 @ 2245, j'ai des erreurs non-bloquantes avec gmail au sujet
> >> de leur certificat (/etc/ssl/certs/Thawte_Premium_Server_CA.pem est bien
> >> présent à la fin de cacert.pem):
> >>
> >> Aug 11 22:46:02 anubis postfix/smtp[31496]: setting up TLS connection to
> >> smtp.gmail.com[74.125.79.109]:587 Aug 11 22:46:02 anubis
> >> postfix/smtp[31496]: certificate verification failed for
> >> smtp.gmail.com[74.125.79.109]:587: untrusted issuer
> >> /C=US/O=Equifax/OU=Equifax Secure Certificate Authority Aug 11 22:46:02
> >> anubis postfix/smtp[31496]: Untrusted TLS connection established to
> >> smtp.gmail.com[74.125.79.109]:587: TLSv1 with cipher RC4-MD5 (128/128
> >> bits)
> >>
> >> quelqu'un aurait-il des infos/links là-dessus?
> >
> > Sur ma machine (Lenny), pas de problème :
> >
> > Aug 14 23:11:12 petole postfix/smtp[28060]: setting up TLS connection to
> > smtp.gmail.com[74.125.79.111]:587 Aug 14 23:11:13 petole
> > postfix/smtp[28060]: Trusted TLS connection established to
> > smtp.gmail.com[74.125.79.111]:587: TLS v1 with cipher RC4-MD5 (128/128
> > bits)
> >
> >
> > A noter qu'un openssl s_client -connect smtp.gmail.com:465 me donne la
> > chaine de certification suivante:
> >
> > Certificate chain
> >  0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
> >    i:/C=US/O=Google Inc/CN=Google Internet Authority
> >  1 s:/C=US/O=Google Inc/CN=Google Internet Authority
> >    i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
>
> Ok tu as mis le doigt dessus:
>
> ~$ openssl s_client -connect smtp.gmail.com:587
> CONNECTED(00000003)
> 2037:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown
> protocol:s23_clnt.c:601:
>
> Apparemment le 587 n'est plus encrypté :(
>
> > C'est peut-être le certificat Equifax qu'il faut "truster" ?
>
> déjà fait: il a été caté dans cacert.pem il-y-a longtemps, et lorsque je
> fais ta manip (s/port 465), je le retrouve bien dans l'output de gmail :)
>
> Merci à toi Nico.
>
> JY
> --
> Astrology... just a bunch of Taurus.

% openssl  \
	s_client -starttls smtp </dev/null \
	-showcerts -connect smtp.gmail.com:587

* Puis, il suffit de copier les certificats avec les lignes:
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----

@+
-- 
(o_
(/)_
S e r g e