Re: gmail untrusted

Sat, 15 Aug 2009 07:18:59 -0700 

Nicolas KOWALSKI a écrit :
> "Jean-Yves F. Barbier" <12u...@gmail.com> writes:
> 
>> Depuis le 11 @ 2245, j'ai des erreurs non-bloquantes avec gmail au sujet
>> de leur certificat (/etc/ssl/certs/Thawte_Premium_Server_CA.pem est bien 
>> présent à la fin de cacert.pem):
>>
>> Aug 11 22:46:02 anubis postfix/smtp[31496]: setting up TLS connection to 
>> smtp.gmail.com[74.125.79.109]:587
>> Aug 11 22:46:02 anubis postfix/smtp[31496]: certificate verification failed 
>> for smtp.gmail.com[74.125.79.109]:587: untrusted issuer 
>> /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
>> Aug 11 22:46:02 anubis postfix/smtp[31496]: Untrusted TLS connection 
>> established to smtp.gmail.com[74.125.79.109]:587: TLSv1 with cipher RC4-MD5 
>> (128/128 bits)
>>
>> quelqu'un aurait-il des infos/links là-dessus?
> 
> Sur ma machine (Lenny), pas de problème :
> 
> Aug 14 23:11:12 petole postfix/smtp[28060]: setting up TLS connection to 
> smtp.gmail.com[74.125.79.111]:587
> Aug 14 23:11:13 petole postfix/smtp[28060]: Trusted TLS connection 
> established to smtp.gmail.com[74.125.79.111]:587: TLS v1 with cipher RC4-MD5 
> (128/128 bits)
> 
> 
> A noter qu'un openssl s_client -connect smtp.gmail.com:465 me donne la
> chaine de certification suivante:
> 
> Certificate chain
>  0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.gmail.com
>    i:/C=US/O=Google Inc/CN=Google Internet Authority
>  1 s:/C=US/O=Google Inc/CN=Google Internet Authority
>    i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority

Ok tu as mis le doigt dessus:

~$ openssl s_client -connect smtp.gmail.com:587
CONNECTED(00000003)
2037:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown 
protocol:s23_clnt.c:601:

Apparemment le 587 n'est plus encrypté :(

> C'est peut-être le certificat Equifax qu'il faut "truster" ?

déjà fait: il a été caté dans cacert.pem il-y-a longtemps, et lorsque je fais ta
manip (s/port 465), je le retrouve bien dans l'output de gmail :)

Merci à toi Nico.

JY
-- 
Astrology... just a bunch of Taurus.

-- 
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org

Répondre à