[exim] (SSL_accept): error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate

[Kapitan_Bomba]

Czy udało się komuś rozwiązać problem z w/w błędem? Wiem, że dotyczy on chyba wszystkich hostingów opartych o panel DA, ale z tego co widzę to są też wątki np. z pleska. Błąd występuje głównie dla serwerów mailgun, ale nie tylko.

Uprzedzając, dodanie do CB:

Cytat

ssl_configuration=old

nie pomaga.

[Spoofy]

13 minut temu, Kapitan_Bomba napisał:

Czy udało się komuś rozwiązać problem z w/w błędem? Wiem, że dotyczy on chyba wszystkich hostingów opartych o panel DA, ale z tego co widzę to są też wątki np. z pleska. Błąd występuje głównie dla serwerów mailgun, ale nie tylko.

Uprzedzając, dodanie do CB:

nie pomaga.

Tak. To jest globalne ustawienie obsługiwanych cipherów i poszczególne dla usługi. Zerknij na: `/etc/dovecot/conf/ssl.conf` (w DA to dovecot odpowiada za autentykację dla Exima) - dyrektywa `ssl_min_protocol`.

[Kapitan_Bomba]

Jest:

Cytat

ssl_min_protocol = TLSv1

zmieniłem na:

Cytat

ssl_min_protocol = SSLv3

 

ale nie pomogło:

 

Cytat

2022-06-01 12:04:14 TLS error on connection from mail61.static.mailgun.info [104.130.122.61] (SSL_accept): error:14094412:SSL routines:ssl3_read_bytes:sslv3 alert bad certificate

 

Edytowane 1 Czerwca 2022 przez Kapitan_Bomba

[Spoofy]

Przepraszam, za dużo systemów W jednych RH like zmieniam https://access.redhat.com/articles/3642912 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/considerations_in_adopting_rhel_8/security_considerations-in-adopting-rhel-8 ale w DA ogarnąłem to inaczej.

Dla DA sprawdź jednak exim'a:
```
/etc/exim.variables.conf.custom
tls_require_ciphers=ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:
```

[Kapitan_Bomba]

Nic to niestety nie dało... (oczywiście zrobiłem ./build exim_conf).

[Spoofy]

10 minut temu, Kapitan_Bomba napisał:

Nic to niestety nie dało... (oczywiście zrobiłem ./build exim_conf).

Kurcze, przepraszam bo z biegu odpisuję. To jest jakieś RH-based distro czy Debian?

Spróbuj dyrektywy `openssl_options`.

[Kapitan_Bomba]

Centos 7. Dałem:

Cytat

openssl_options=+all

ale też nie pomogło...

Edytowane 1 Czerwca 2022 przez Kapitan_Bomba

[Spoofy]

10 minut temu, Kapitan_Bomba napisał:

Centos 7. Dałem:

ale też nie pomogło...

Być nie może. Sam miałem ostatnio ten problem i dodawałem tą konfigurację - "u mnie działa", więc zapomniałem gdzie i jak to ustawiłem, ale kurcze tylko te dyrektywy za to odpowiadają. Sprawdź proszę raz jeszcze i ewentualnie daj w custom ten ssl.conf od Dovecot'a zanim przebudujesz config.

 

16 minut temu, Spoofy napisał:

Kurcze, przepraszam bo z biegu odpisuję. To jest jakieś RH-based distro czy Debian?

To nie jest jakiś nowszy Debian?

Edit: widzę że podałeś - CentOS 7. Kurcze, na szybko teraz nie pomogę bo nie widzę co jeszcze zmieniałem a te dyrektywy za to odpowiadają. Odezwij się wieczorem na PW to możemy porównać configi. Wiem że też na forum DA o tym pisali i tam była solucja z której sam skorzystałem.

Edytowane 1 Czerwca 2022 przez Spoofy

[Spoofy]

Edit: UP ^ To jednak nie ten case  Ciekawe co się z tego urodzi.

[l3szcz]

Raczej nie zabrzmi to dość profesjonalnie natomiast - problem występował u mnie gdy korzystałem z LE - po kupnie certa wszystko zaczęło działać.

Edytowane 2 Czerwca 2022 przez l3szcz

[Poziomecki]

Próbowałeś zaktualizować openssl? Tam zdaje się były problemy do jakiejś wersji. Warto sobie tak czy siak zaktualizować.

 

Jeżeli to nie pomoże to pozostaje zabawa z ustawienia SSL https://syslink.pl/cipherlist/