Поскольку срок действия корневого SSL-сертификата истек 30 мая, я не могу получить электронную почту с моего корпоративного сервера Microsoft Exchange с помощью почтового клиента evolution, а в сообщении об ошибке указано, что сертификат ssl недействителен, что вполне разумно. Внутренняя ИТ-служба говорит, что все работает нормально и не собираются исследовать проблему. Действительно, с веб-интерфейсом Outlook нет проблем.
Публичные средства проверки сертификатов SSL (https://ssltools.godaddy.com/views/certChecker, https://www.sslchecker.com/sslchecker) в целом согласен со мной и заявляет, что один из сертификатов в цепочке недействителен.
Я не эксперт в цепочке сертификатов ssl, и вопрос в том, что действительно может решить проблему?
Есть ли у меня слишком старые сертификаты, или сервер предоставляет моему почтовому клиенту устаревшую цепочку сертификатов, или может быть другой источник?
В конце концов, должен ли я усилить ИТ-отдел, или найти проблему в конфигурации моей системы, или сообщить об ошибке разработчикам моего почтового клиента?
ОПЕРАЦИОННЫЕ СИСТЕМЫ: Arch Linux со следующими установленными пакетами:
evolution 3.36.3
ca-certificates 20181109-3
ca-certificates-mozilla 3.53-1
Похоже, что никакие другие службы не пострадали. Любая помощь приветствуется.
РЕДАКТИРОВАТЬ:
Подробное техническое описание: https://support.sectigo.com/articles/Knowledge/Sectigo-AddTrust-External-CA-Root-Expiring-May-30-2020
Просроченный сертификат, согласно https://ssltools.godaddy.com/views/certChecker
Serial Number: 2766EE56EB49F38EABD770A2FC84DE22
Signature Algorithm: Sha384 With RSA Encryption
Issuer Name: AddTrust AB
Common Name: COMODO RSA Certification Authority
Validity Period: May 30, 2000 to May 30, 2020
В конце концов, должен ли я усилить ИТ-отдел, или найти проблему в конфигурации моей системы, или сообщить об ошибке разработчикам моего почтового клиента?
Вопрос на IRC-канале Evolution помог найти верный путь.
Причина ошибки - истечение срока действия корневого ssl сертификата 31 мая 2020 года и более ранняя реализация алгоритма в GnuTLS.
Отчет об ошибке для эволюции: https://gitlab.gnome.org/GNOME/glib-networking/-/issues/136
Требуется обновление GnuTLS в соответствии с https://mail.gnome.org/archives/distributor-list/2020-June/msg00000.html
Отчет об ошибке GnuTLS: https://gitlab.gnome.org/GNOME/glib-networking/-/issues/136 , которые, похоже, исправлены в GnuTLS 3.6.14
В конце концов, обновление GNUtls решило проблему.
ЦС в рамках PKI должны пользоваться доверием сторон, которые полагаются на его сертификаты, чтобы предотвратить получение доступа к системам, которые доверяют ЦС. Когда браузер получает последовательность сертификатов, корень CA подключается к сертификату сервера. Часто браузерам приходится рассматривать несколько путей сертификации, пока они не найдут действительный для данного сертификата.
Браузер собирается проверить путь сертификации, если путь принят как действительный, в противном случае он станет недействительным (истек), CA отзовет сертификат (в основном из-за изменения домена, компрометации закрытого ключа и т. Д.) => И это то, что многие другие Сегодня пользователи сталкиваются с проблемой, поскольку они сообщают о множестве ошибок, связанных с ошибками проверки в приложениях, использующих GnuTLS (Evolution использует GnuTLS). На этом SSL-сайте рекомендуется удалить истекший сертификат AddTrust из корневого хранилища ОС (но, к сожалению, нет ссылки для вашего Linux).
https://www.ssl.com/blogs/addtrust-external-ca-root-expired-may-30-2020/
@ Рамиль Матрасов Как вы думаете, проблема в сервере, ЦС или просто удаление из ОС поможет?
Вы можете обновить сертификат SSL, используя тот же ЦС (если это так, у вас есть ЦС или клиент, кстати?). Вам необходимо получить разрешение, поэтому, если у вас нет одного, лучше подтолкнуть ИТ-отдел (они также являются администраторами, поэтому они также должны помочь вам, предоставив всю информацию. У каждого сертификата есть срок действия (обычно истекает через 5 лет). Надеюсь, ссылка ниже также будет полезна. https://docs.microsoft.com/en-us/exchange/architecture/client-access/renew-certificates?view=exchserver-2019#:~:text=Every%20certificate%20has%20a%20built,Shell%20to % 20обновить% 20Обмен% 20сертификатов.
Я рад, что вы устранили проблему с сертификатом, но в то же время вы можете пометить свое решение, чтобы помочь людям с той же проблемой.
Кроме того, вы также можете узнать, связан ли этот сертификат с Exchange Server, выполнив команду "Get-ExchangeCertificate | fl Тема, NotAfter"в EMS (Exchange PowerShell), если он используется вашим сервером Exchange, вам лучше продлить сертификат с истекшим сроком действия, чтобы избежать некоторых возможных проблем (например, приложение Outlook выдает запрос о недействительном сертификате), обратившись к официальной документации, которая Норка общий.