Thu, Jun 03, 2004 at 11:45:19, maxim wrote about "[uanog] TLS in sendmail":

Приветствую! тут захотелось мне TLS запустить... вроде все сделал по хинту, вроде даже работает, но меня напрягает один странный момент из диагностики сендмыла. а именно "verify=FAIL". Клиент не показал сертификат, или показал, но проверить его не смогли. TLS работает и без сертификата клиента, но это не всегда административно допустимо.

как можно наверняка узнать, письмо шло через TLS или стандартным методом?

Если тебе рассказали про версию SSL/TLS, шифры и прочее - по через TLS. Если не веришь - проверь tcpdump'ом ;)))

----- Forwarded message from Maxim Mazurok -----

Received: from chinger.km.ua (ns4.chinger.km.ua [193.201.116.254]) by geddar.km.ua (8.12.10/8.12.10) with ESMTP id i538Nulf094304 (version=TLSv1/SSLv3 cipher=DHE-DSS-AES256-SHA bits=256 verify=FAIL) for ; Thu, 3 Jun 2004 11:23:57 +0300 (EEST) (envelope-from maxim@geddar.km.ua)

-netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Thu, Jun 03, 2004 at 12:32:57PM +0300, Valentin Nechayev wrote:

...

Приветствую! тут захотелось мне TLS запустить... вроде все сделал по хинту, вроде даже работает, но меня напрягает один странный момент из диагностики сендмыла. а именно "verify=FAIL". Клиент не показал сертификат, или показал, но проверить его не смогли. TLS работает и без сертификата клиента, но это не всегда административно допустимо.

я уже нашел описание диагностики. этот вариант говорит о том, что сертификат самогенеренный. именно потому и FAIL.

...

как можно наверняка узнать, письмо шло через TLS или стандартным методом?

Если тебе рассказали про версию SSL/TLS, шифры и прочее - по через TLS. Если не веришь - проверь tcpdump'ом ;)))

гммм. надо попробовать таки :) интересно :)

...

----- Forwarded message from Maxim Mazurok -----

Received: from chinger.km.ua (ns4.chinger.km.ua [193.201.116.254]) by geddar.km.ua (8.12.10/8.12.10) with ESMTP id i538Nulf094304 (version=TLSv1/SSLv3 cipher=DHE-DSS-AES256-SHA bits=256 verify=FAIL) for ; Thu, 3 Jun 2004 11:23:57 +0300 (EEST) (envelope-from maxim@geddar.km.ua)

-netch- =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- Maxim Mazurok (MMP2-RIPE) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Victor Sudakov wrote:

Коли заговорили про сертификаты и SSL/TLS, я вспомнил, что у меня есть вопрос. lynx понимает переменную среды SSL_CERT_DIR. Кладу туда сертификаты CA, которым верю. И всё равно вижу

SSL error:self signed certificate in certificate chain-Continue? (y)

Да,

[sudakov@sibptus ~] ls -l $SSL_CERT_DIR/ total 2 lrwxr-xr-x 1 sudakov user 10 20 май 11:45 17c49973 -> cacert.pem -rw-r--r-- 1 sudakov user 1184 20 май 11:42 cacert.pem [sudakov@sibptus ~]

При этом после "setenv SSL_CERT_FILE $SSL_CERT_DIR/cacert.pem" lynx работает чудненько, перестаёт задавать свой глупый вопрос. Внимание - что я делаю не так с SSL_CERT_DIR ? Хэш как-нибудь неправильно сделал?

Разобрался. Оказывается, имя сертификата должно быть в виде hash.0, а не просто hash. [sudakov@sibptus ~] ls -l $SSL_CERT_DIR/ total 2 lrwxr-xr-x 1 sudakov user 10 7 июн 11:22 17c49973.0 -> cacert.pem -rw-r--r-- 1 sudakov user 1184 3 июн 17:08 cacert.pem [sudakov@sibptus ~] -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message