Puncte:0

Server

Conexiunea securizată la serverul web/mail eșuează sub MacOS/iOS

Olma67

08.02.2023, 07:36

Sunt disperat: Am mutat două domenii de la un server la altul care mergea fără probleme. Am securizat ambele domenii (web și mail) cu certificate Letsencrypt.Acum, proprietarul acestor domenii s-a plâns de un server de e-mail care nu funcționează. Dar acest lucru nu putea fi, deoarece alte domenii ar putea trimite și primi e-mailuri. În timpul depanării, am observat că nicio pagină web nu poate fi preluată de pe serverul meu pe macOS sau iOS. (Conexiune refuzată - Nu se poate stabili o conexiune sigură). Sub Windows/Linux/Android, toate acestea nu sunt o problemă și traficul de e-mail funcționează, de asemenea, impecabil. Deci, wtf se întâmplă? Se pare că Apple nu poate lucra cu certificatele Letsencrypt create. Ceea ce nu-mi pot imagina.

Are cineva idei despre asta? Multumesc pentru ajutor.

Server: Ubuntu 20.04, gestionat de Plesk

Client: macOS Catalina, Apple Mail

---[EDITAȚI | ×]--- am fugit

openssl s_client -connect maildomain.com:465

pe o mașină Windows ȘI pe un Mac, pentru a verifica ce se întâmplă la conexiunea cu serverul meu de e-mail. Rezultatul pe un PC:

    CONECTAT(00000003)
adâncime=2 C = SUA, O = Internet Security Research Group, CN = ISRG Root X1
verificați returnarea:1
adâncime=1 C = US, O = Let's Encrypt, CN = R3
verificați returnarea:1
adâncime=0 CN = maildomain.com
verificați returnarea:1
---
Lanț de certificate
 0 s:CN = maildomain.com
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = SUA, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = SUA, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---
Certificat de server
-----ÎNCEPE CERTIFICAT-----
MIIFJzCCBA+gAwIBAgISBBHHETtaspqio7t1ZKYQ36xHMA0GCSqGSIb3DQEBCwUA
MDIxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQswCQYDVQQD
EwJSMzAeFw0yMTEwMDUwNzQyMjVaFw0yMjAx ... etc.
-----CERTIFICAT FINAL-----
subiect=CN = maildomain.com

emitent=C = SUA, O = Let's Encrypt, CN = R3

---
Nu s-au trimis nume de CA de certificat de client
Rezumat peer signing: SHA256
Tip semnătură peer: RSA-PSS
Cheie Temp Server: X25519, 253 de biți
---
SSL handshake a citit 4676 de octeți și a scris 395 de octeți
Verificare: OK
---
Nou, TLSv1.2, Cipher este ECDHE-RSA-AES256-GCM-SHA384
Cheia publică a serverului este de 2048 biți
Este acceptată renegocierea sigură
Compresie: NIMIC
Extindere: NIMIC
Nu s-a negociat ALPN
Sesiune SSL:
    Protocol: TLSv1.2
    Cifr: ECDHE-RSA-AES256-GCM-SHA384
    ID sesiune: DDE8ED4DBF7BD8E8F2D411EDE00C7522C0A15927E3D0C75F58F174B7464270D3
    ID-ul sesiunii-ctx:
    Cheie principală: 6D3167E0283ED9BA1F6427841212C8BAF37FF75998B369DE4184618EF9BFBE9F8860809CC9B7xxxxxxxxxxxxxxxxxxxx
    Identitate PSK: Niciuna
    Sugestie de identitate PSK: Niciuna
    Nume de utilizator SRP: niciunul
    Sugestie pentru durata de viață a biletului de sesiune TLS: 7200 (secunde)
    Tichet sesiune TLS:
    0000 - 21 be ab 05 b8 95 30 14-cf c1 ff 7d 98 aa 3c 82 !.....0....}..<. ... etc...

    Ora de începere: 1633683311
    Timeout: 7200 (sec)
    Verificați codul de returnare: 0 (ok)
    Secret principal extins: da
---
220 my.server.com ESMTP Postfix (Debian/GNU)
părăsi
221 2.0.0 Pa
închis

Și aici vine răspunsul pe un Mac:

CONECTAT(00000003)
341:error:1407742E:Rutine SSL:SSL23_GET_SERVER_HELLO:tlsv1 versiunea protocolului de alertă:S23_clnt.c:596:

Deci, se pare că Mac-ul nu poate face față TLS1.2/TLS1.3...

Orice sugestii ce să faci?

0 + 0

linux

Mac

certificat ssl

Gordon Davisson

08.02.2023, 17:51

macOS Catalina ar trebui să poată gestiona atât TLS v1.2, cât și 1.3 (cel puțin folosind biblioteca TLS a sistemului; nu sunt sigur de comanda `openssl`). Aș încerca să elimin certificatul „ISRG Root X1” din pachetul pe care îl folosește serverul -- este un certificat cu semnătură încrucișată de la „DST Root CA X3”, care tocmai a expirat, iar acest lucru poate deruta clienții.

Răspunde

Olma67

09.02.2023, 08:15

Hei, @Gordon Davisson! Multumesc pentru raspunsul tau. De unde știi că aceste certificate sunt expirate?

Răspunde

Gordon Davisson

09.02.2023, 08:48

Vedeți [acest mesaj la LetsEncrypt](https://letsencrypt.org/2021/10/01/cert-chaining-help.html) și [acest mesaj de la Scott Helme](https://scotthelme.co.uk/lets -criptare-rădăcină-expirare-post-mortem/). Rețineți că intermediarul pe care îl serviți nu a expirat, dar rădăcina cu care este semnat are. Acest lucru este puțin ciudat, dar a fost făcut pentru a sprijini clienții Android mai vechi (mai vechi decât 7.1.1). Trebuie să acceptați versiuni mai vechi de Android? Dacă da, va fi necesar acel intermediar. Dar aș încerca oricum testul, așa că cel puțin vă puteți da seama dacă este acel intermediar care îi încurcă pe clienții Mac.

Răspunde

Gordon Davisson

09.02.2023, 08:52

BTW, un alt lucru de încercat este să adăugați actualul „ISRG Root X1” (cel autosemnat, nu cel intermediar cu același nume), disponibil [aici](https://letsencrypt.org/certificates/), la lantul. În general, nu este necesar să includeți certificate rădăcină în pachetul serverului, dar în acest caz merită să încercați pentru a vedea dacă deconfundă clienții Mac.

Răspunde

Olma67

19.02.2023, 20:07

Bună, @Gordon. Scuze pentru raspunsul intarziat. Am eliminat certificatul prin dpkg, dar se pare că este încă acolo. La conectarea la serverul meu de e-mail, încă văd prima linie după CONNECT. (Postarea inițială, primul jurnal).Ce fac eu gresit? Multumesc si salutari.

Răspunde

Gordon Davisson

20.02.2023, 07:49

Devin din ce în ce mai suspicios cu privire la versiunea TLS -- încercați `openssl s_client -connect github.com:443

Răspunde

Olma67

22.02.2023, 09:23

Bună @Gordon. Mulțumesc mult pentru sfatul tău. O sa incerc. Bănuiesc că mai degrabă o problemă cu serverul, deoarece nici site-urile web criptate SSL nu pot fi accesate de pe acel server. Dar, așa cum am spus, numai de pe dispozitive iOS și Mac. Ai alte idei?

Răspunde

Gordon Davisson

22.02.2023, 09:31

Net încă, în acest moment caut doar mai multe informații pentru a izola ceea ce cauzează problema.

Răspunde

Olma67

23.02.2023, 16:14

Bine. Github a răspuns cu „Nou, TLSv1/SSLv3, Cipher este...” Cert este DigCert High Assurance Cert.

Răspunde

Olma67

23.02.2023, 16:22

@Gordon, de atunci am putut să folosesc iPhone-urile și iPad-urile copiilor mei pentru a accesa site-urile web găzduite pe acest server. Deci, se pare că există o problemă cu Mac-urile utilizatorului până la urmă. Există posibilitatea ca computerele lui să fie infectate cu ceva? Nu sunt un ciudat al Apple... scuze.

Răspunde

Olma67

26.02.2023, 18:08

@GordonDavisson: Chiar și după o actualizare a software-ului Mac, nu există nicio modalitate de a funcționa. Mă gândesc să accept vechea versiune TLS/SSL. Cum pot face acest lucru?

Răspunde

Olma67

26.02.2023, 18:47

Trebuie să întreb dacă am eliminat corect certificatul expirat de pe server. Pentru ca, totusi: ```adâncime=2 C = SUA, O = Internet Security Research Group, CN = ISRG Root X1 verifica returnarea:1 adâncime=1 C = US, O = Let's Encrypt, CN = R3 verifica returnarea:1 adâncime=0 CN = maildomain.com verifica returnarea:1 ```

Răspunde

Olma67

26.02.2023, 18:52

Lantul: `Lant de certificate 0 s:CN = maildomain.com i:C = US, O = Let's Encrypt, CN = R3 1 s:C = US, O = Let's Encrypt, CN = R3 i:C = SUA, O = Internet Security Research Group, CN = ISRG Root X1 2 s:C = SUA, O = Internet Security Research Group, CN = ISRG Root X1 i:O = Digital Signature Trust Co., CN = DST Root CA X3` Nu înţeleg...

Răspunde

Gordon Davisson

26.02.2023, 20:16

Ok, acum sunt foarte confuz. Cel mai recent rezultat OpenSSL din comentariul tău (este de la Windows?) arată că încă servește intermediarul cu semne încrucișate. Nu sunt deloc familiarizat cu Plesk, așa că nu am sugestii despre eliminarea acestuia. Dar în ceea ce privește testul github, partea „Nou, TLSv1/SSLv3” pare complet greșită, deoarece, din câte văd, niciunul dintre serverele lor nu acceptă TLSv1 sau SSLv3 (consultați [acest rezultat al testului SSL Labs](https://www. .ssllabs.com/ssltest/analyze.html?d=github.com).Deci, poate că există un fel de malware/interceptare SSL/ceva de genul acesta se întâmplă?

Răspunde

Olma67

26.02.2023, 22:03

Nu. am fugit ```Ã²penssl s_client -connect maildomain.com:465 ```

Răspunde

Gordon Davisson

26.02.2023, 22:09

Ați fi de acord să distribuiți numele real al domeniului, astfel încât să pot rula teste direct?

Răspunde

Olma67

26.02.2023, 22:12

Desigur, dacă îmi dai adresa ta de e-mail.... ;)

Răspunde

Olma67

27.02.2023, 19:57

Această eroare persistă, chiar și după trecerea la un server nou-nouț. SSLLabs arată verde pe domeniul securizat, dar nu pot apela pagina web. Numai cu Edge este posibil să obțineți conținutul. Firefox și Chrome: Nu! Și Safari se plânge că nu poate stabili o conexiune sigură. Wtf se întâmplă?

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Secure connection to web-/mailserver fails under MacOS/iOS

TH: การเชื่อมต่อที่ปลอดภัยกับเว็บ/เมลเซิร์ฟเวอร์ล้มเหลวใน MacOS/iOS

RO: Conexiunea securizată la serverul web/mail eșuează sub MacOS/iOS

RU: Безопасное подключение к веб-/почтовому серверу не работает в MacOS/iOS

VI: Kết nối an toàn với web-/máy chủ thư không thành công trong MacOS/iOS

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.