postfix kann Zertifikat von mail.gmx.net nicht verifizieren

To: debian-user-german@lists.debian.org
Subject: postfix kann Zertifikat von mail.gmx.net nicht verifizieren
From: Sven Joachim <svenjoac@gmx.de>
Date: Wed, 13 Apr 2011 19:26:20 +0200
Message-id: <[🔎] 871v16t64j.fsf@turtle.gmx.de>
Mail-followup-to: debian-user-german@lists.debian.org

Heute kam ein binNMU für postfix nach unstable, und danach fand ich
folgendes in /var/log/mail.log:

,----
| Apr 13 16:22:53 turtle postfix/smtp[1972]: setting up TLS connection to mail.gmx.net[213.165.64.21]:587
| Apr 13 16:22:53 turtle postfix/smtp[1972]: certificate verification failed for mail.gmx.net[213.165.64.21]:587: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
| Apr 13 16:22:53 turtle postfix/smtp[1972]: Untrusted TLS connection established to mail.gmx.net[213.165.64.21]:587: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
| Apr 13 16:22:53 turtle postfix/smtp[1972]: 88EFF3F328: Server certificate not trusted
| Apr 13 16:22:53 turtle postfix/smtp[1972]: setting up TLS connection to mail.gmx.net[213.165.64.20]:587
| Apr 13 16:22:53 turtle postfix/smtp[1972]: certificate verification failed for mail.gmx.net[213.165.64.20]:587: untrusted issuer /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
| Apr 13 16:22:53 turtle postfix/smtp[1972]: Untrusted TLS connection established to mail.gmx.net[213.165.64.20]:587: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
| Apr 13 16:22:53 turtle postfix/smtp[1972]: 88EFF3F328: to=<620138@bugs.debian.org>, relay=mail.gmx.net[213.165.64.20]:587, delay=2.4, delays=0.3/0.87/1.2/0, dsn=4.7.5, status=deferred (Server certificate not trusted)
`----

Dies liegt offenbar daran, dass postfix jetzt gegen libssl1.0.0 gelinkt
ist, ebenso wie openssl:

,----
| $ openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -connect mail.gmx.net:587
| CONNECTED(00000003)
| depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
| verify error:num=20:unable to get local issuer certificate
| verify return:1
| depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
| verify error:num=27:certificate not trusted
| verify return:1
| depth=0 C = DE, ST = Bayern, L = Munich, O = GMX GmbH, CN = mail.gmx.net
| verify error:num=21:unable to verify the first certificate
| verify return:1
`----

Mit der Squeeze-Version von openssl, die gegen libssl0.9.8 gelinkt ist,
gibt es keine solchen Probleme:

,----
| $ ./openssl s_client -CApath /etc/ssl/certs/ -starttls smtp -connect mail.gmx.net:587
| CONNECTED(00000003)
| depth=1 /C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Premium Server CA/emailAddress=premium-server@thawte.com
| verify return:1
| depth=0 /C=DE/ST=Bayern/L=Munich/O=GMX GmbH/CN=mail.gmx.net
| verify return:1
`----

Irgendein SSL-Guru hier, der das erklären kann? Brauche ich ein neueres
Zertifikat, und wenn ja wie bekomme ich es? Das ca-certificates-Paket
ist ja seit Juli 2009 nicht mehr aktualisiert worden. :-(

Vorerst habe ich postfix auf 2.8.2-1 deaktualisiert, denn Mails
verzögert auszuliefern ist unschön.

Sven

Reply to:

Follow-Ups:
- Re: postfix kann Zertifikat von mail.gmx.net nicht verifizieren
  - From: Sven Hartge <sven@svenhartge.de>

Prev by Date: Re: grub2 Frage
Next by Date: Re: Keine Authorisierung möglich
Previous by thread: eeeeePC 1005ha und xorg - keyboard
Next by thread: Re: postfix kann Zertifikat von mail.gmx.net nicht verifizieren
Index(es):
- Date
- Thread