[Eisfair] Warnungen bei SSL fetchmail

Marcus Roeckrath marcus.roeckrath at gmx.de
Mi Mär 26 20:13:56 CET 2014


Hallo Detlef,

Detlef Paschke wrote:

> Also ein Mismatch war es ja irgendwie nicht  oder doch? Jedenfalls
> reagiert hat mail-addon-certs nicht darauf. Eigentlich wäre es ja genau
> für solche Szenarien da gewesen.

Eben, wenn ein Mismatch von fetchmail gemeldet wird ...

> fetchmail: Missing trust anchor certificate: /C=DE/O=Deutsche Telekom
> AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
> fetchmail: This could mean that the root CA's signing certificate is not
> in the trusted CA certificate location, or that c_rehash needs to be run
> on the certificate directory. For details, please see the documentation
> of --sslcertpath and --sslcertfile in the manual page.
> fetchmail: OpenSSL reported: error:14090086:SSL

... hier steht nichts von Fingerprint Mismatch, also springt die Routine
auch nicht an.

Dir fehlte vermutlich das TeleSec Beglaubigungszertifikat und das prüft
fetchmail vor der Prüfung des Mailserverzertifikats.

Mal sehen, ob für solche Fehler zumindest eine Warnmail generieren kann.

> Sicherheit hin oder her, aber bis vor kurzem lief mail hier seit Jahren
> ohne Probleme durch und jetzt braucht da irgendwo nur mal einer mit
> seinen Sch.... Zertifikaten quer Pupsen und schon geht hier nix mehr.

So ist das, wenn die bei den Providern an den Zertifikaten rumspielen,
bekommen wir den Spaß.

Als Anfang des Jahres gmx seine Zertifikate ausgetauscht hat, dauerte es
auch einen halben Tag, bis die Umstellung auf den gmx-Servern komplett
durchgezogen war.

Dazwischen gab es immer wieder Mismatches mit teilweisem Hin-und Her-Tausch
zwischen alten und neuen Zertifikat.

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair