gmail untrusted

Le
Jean-Yves F. Barbier
sid
postfix
gmail
==
Salut liste,

Depuis le 11 @ 2245, j'ai des erreurs non-bloquantes avec gmail au sujet
de leur certificat (/etc/ssl/certs/Thawte_Premium_Server_CA.pem est bien
présent à la fin de cacert.pem):

Aug 11 22:46:02 anubis postfix/smtp[31496]: setting up TLS connection to smtp.gmail.com[74.125.79.109]:587
Aug 11 22:46:02 anubis postfix/smtp[31496]: certificate verification failed for smtp.gmail.com[74.125.79.109]:587: untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
Aug 11 22:46:02 anubis postfix/smtp[31496]: Untrusted TLS connection established to smtp.gmail.com[74.125.79.109]:587: TLSv1 with cipher RC4-MD5 (128/128 bits)

quelqu'un aurait-il des infos/links là-dessus?

Par ailleurs, il-y-a environ un mois 1/2 l'authentification a complètement plantée
(résolu en remplaçant 'smtp.googlemail.com' par 'smtp.gmail.com' dans tous les fichiers
de conf) MAIS postfix n'a renvoyé aucun warning/erreur alors qu'aucun mail n'était
accepté par gmail.
Quels paramètres faut-il ajouter/retoucher pour être prévenu lors de telles erreurs?

JY
--
Beware of a tall dark man with a spoon up his nose.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Nicolas KOWALSKI
Le #19930891
"Jean-Yves F. Barbier"
Depuis le 11 @ 2245, j'ai des erreurs non-bloquantes avec gmail au sujet
de leur certificat (/etc/ssl/certs/Thawte_Premium_Server_CA.pem est bien
présent à la fin de cacert.pem):

Aug 11 22:46:02 anubis postfix/smtp[31496]: setting up TLS connection to smtp.gmail.com[74.125.79.109]:587
Aug 11 22:46:02 anubis postfix/smtp[31496]: certificate verification failed for smtp.gmail.com[74.125.79.109]:587: untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
Aug 11 22:46:02 anubis postfix/smtp[31496]: Untrusted TLS connection established to smtp.gmail.com[74.125.79.109]:587: TLSv1 with cipher RC4-MD5 (128/128 bits)

quelqu'un aurait-il des infos/links là-dessus?



Sur ma machine (Lenny), pas de problème :

Aug 14 23:11:12 petole postfix/smtp[28060]: setting up TLS connection to smtp.gmail.com[74.125.79.111]:587
Aug 14 23:11:13 petole postfix/smtp[28060]: Trusted TLS connection established to smtp.gmail.com[74.125.79.111]:587: TLS v1 with cipher RC4-MD5 (128/128 bits)


A noter qu'un openssl s_client -connect smtp.gmail.com:465 me donne la
chaine de certification suivante:

Certificate chain
0 s:/C=US/STÊlifornia/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
i:/C=US/O=Google Inc/CN=Google Internet Authority
1 s:/C=US/O=Google Inc/CN=Google Internet Authority
i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

C'est peut-être le certificat Equifax qu'il faut "truster" ?

--
Nicolas

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Jean-Yves F. Barbier
Le #19932761
Nicolas KOWALSKI a écrit :
"Jean-Yves F. Barbier"
Depuis le 11 @ 2245, j'ai des erreurs non-bloquantes avec gmail au sujet
de leur certificat (/etc/ssl/certs/Thawte_Premium_Server_CA.pem est bien
présent à la fin de cacert.pem):

Aug 11 22:46:02 anubis postfix/smtp[31496]: setting up TLS connection to smtp.gmail.com[74.125.79.109]:587
Aug 11 22:46:02 anubis postfix/smtp[31496]: certificate verification failed for smtp.gmail.com[74.125.79.109]:587: untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
Aug 11 22:46:02 anubis postfix/smtp[31496]: Untrusted TLS connection established to smtp.gmail.com[74.125.79.109]:587: TLSv1 with cipher RC4-MD5 (128/128 bits)

quelqu'un aurait-il des infos/links là-dessus?



Sur ma machine (Lenny), pas de problème :

Aug 14 23:11:12 petole postfix/smtp[28060]: setting up TLS connection to smtp.gmail.com[74.125.79.111]:587
Aug 14 23:11:13 petole postfix/smtp[28060]: Trusted TLS connection established to smtp.gmail.com[74.125.79.111]:587: TLS v1 with cipher RC4-MD5 (128/128 bits)


A noter qu'un openssl s_client -connect smtp.gmail.com:465 me donne la
chaine de certification suivante:

Certificate chain
0 s:/C=US/STÊlifornia/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
i:/C=US/O=Google Inc/CN=Google Internet Authority
1 s:/C=US/O=Google Inc/CN=Google Internet Authority
i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority



Ok tu as mis le doigt dessus:

~$ openssl s_client -connect smtp.gmail.com:587
CONNECTED(00000003)
2037:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:601:

Apparemment le 587 n'est plus encrypté :(

C'est peut-être le certificat Equifax qu'il faut "truster" ?



déjà fait: il a été caté dans cacert.pem il-y-a longtemps, et lorsque je fais ta
manip (s/port 465), je le retrouve bien dans l'output de gmail :)

Merci à toi Nico.

JY
--
Astrology... just a bunch of Taurus.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Jean-Michel OLTRA
Le #19932971
Bonjour,


Le samedi 15 août 2009, Jean-Yves F. Barbier a écrit...


Ok tu as mis le doigt dessus:



~$ openssl s_client -connect smtp.gmail.com:587
CONNECTED(00000003)
2037:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:601:



Apparemment le 587 n'est plus encrypté :(



Donner le protocole en ligne de commande avec l'option
-starttls <proto> (proto =: smtp|pop3|imap|ftp) ?
--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
S e r g e
Le #19933041
Le Saturday 15 August 2009 16:18:39 Jean-Yves F. Barbier, vous avez éc rit :
Nicolas KOWALSKI a écrit :
> "Jean-Yves F. Barbier" >> Depuis le 11 @ 2245, j'ai des erreurs non-bloquantes avec gmail au suj et
>> de leur certificat (/etc/ssl/certs/Thawte_Premium_Server_CA.pem est bi en
>> présent à la fin de cacert.pem):
>>
>> Aug 11 22:46:02 anubis postfix/smtp[31496]: setting up TLS connection to
>> smtp.gmail.com[74.125.79.109]:587 Aug 11 22:46:02 anubis
>> postfix/smtp[31496]: certificate verification failed for
>> smtp.gmail.com[74.125.79.109]:587: untrusted issuer
>> /C=US/O=Equifax/OU=Equifax Secure Certificate Authority Aug 11 2 2:46:02
>> anubis postfix/smtp[31496]: Untrusted TLS connection established to
>> smtp.gmail.com[74.125.79.109]:587: TLSv1 with cipher RC4-MD5 (128/128
>> bits)
>>
>> quelqu'un aurait-il des infos/links là-dessus?
>
> Sur ma machine (Lenny), pas de problème :
>
> Aug 14 23:11:12 petole postfix/smtp[28060]: setting up TLS connection to
> smtp.gmail.com[74.125.79.111]:587 Aug 14 23:11:13 petole
> postfix/smtp[28060]: Trusted TLS connection established to
> smtp.gmail.com[74.125.79.111]:587: TLS v1 with cipher RC4-MD5 (128/128
> bits)
>
>
> A noter qu'un openssl s_client -connect smtp.gmail.com:465 me donne la
> chaine de certification suivante:
>
> Certificate chain
> 0 s:/C=US/STÊlifornia/L=Mountain View/O=Google Inc/CN=smtp .gmail.com
> i:/C=US/O=Google Inc/CN=Google Internet Authority
> 1 s:/C=US/O=Google Inc/CN=Google Internet Authority
> i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

Ok tu as mis le doigt dessus:

~$ openssl s_client -connect smtp.gmail.com:587
CONNECTED(00000003)
2037:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown
protocol:s23_clnt.c:601:

Apparemment le 587 n'est plus encrypté :(

> C'est peut-être le certificat Equifax qu'il faut "truster" ?

déjà fait: il a été caté dans cacert.pem il-y-a longtemps, et lorsque je
fais ta manip (s/port 465), je le retrouve bien dans l'output de gmail :)

Merci à toi Nico.

JY
--
Astrology... just a bunch of Taurus.



% openssl
s_client -starttls smtp </dev/null
-showcerts -connect smtp.gmail.com:587

* Puis, il suffit de copier les certificats avec les lignes:
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----

@+
--
(o_
(/)_
S e r g e

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Jean-Yves F. Barbier
Le #19935191
Merci à tous, ça m'a permis de retrouver les Cdes openssl (égaré mon mod'op) :)

Finalement le PB a été résolu "bizarrement": postfix est apparemment en chroot
(mais il n'y-a rien qui l'indique dans les ficiers de conf), et j'ai du recopier
tous les certificats dans /var/spool/postfix/etc/ssl/certs pour que ça refonctionne.

JY
--
The most difficult thing about surviving AIDS is trying to convince
your parents that you're Haitian.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme