SSL_accept error from 213-225-38-118.nat.highway.a1.net[213.225.38.118]: -1 - Nachtrag

[Markus Winkler]

Hallo noch mal Andi,

On 26.10.21 16:25, Andreas Wass - Glas Gasperlmair wrote:
>>>> Du kannst auch das abgelaufene Root-Zertifkat auf dem Server löschen. 
>>>> Das sollte reichen.
>>> Auf meinem neuen Server dürfte es kein abgelaufenes Root-Zertifikat 
>>> geben, da die neuen Zertifikate ja erst letzten Samstag erstellt wurden? 
>>> Da gab es vorher noch keine Zertifikate.
>>
>> Das ist Deinem Server ja mal herzlich egal. Ich meinte sowas wie
>>
>> sed -i "s/^mozilla\/DST_Root_CA_X3\.crt/\!mozilla\/DST_Root_CA_X3\.crt/g" 
>> /etc/ca-certificates.conf
>> update-ca-certificates
> ...das könnt ich mal probieren.

das "schadet" zwar nicht, dürfte bei deinem Thema allerdings keinerlei 
Effekt haben. ;-)

Was zeigt denn ein:

postconf -n | egrep 'smtpd_tls.*file'

bei Dir?

Ich vermute, dass da u. a. etwas in der Art auftaucht:

smtpd_tls_cert_file = 
/etc/letsencrypt/live/mail1.glasgasperlmair.at/fullchain.pem

(smtpd_tls_chain_files ... könnte zusätzlich oder alternativ erscheinen, da 
bei neueren Postfix-Versionen das der bevorzugte Parameter ist)

Stimmt das? Wenn ja: In dem/den dort referenzierten File(s) findest Du die 
drei Certs, die Dein Postfix einem Client beim Verbindungsaufbau übergibt. 
Und eines von denen ist (ich wiederhole mich ;-)) das Root-Cert 'CN = ISRG 
Root X1', das vom nun nicht mehr gültigen 'DST Root CA X3' signiert wurde.

Das nur noch mal zum Hintergrund.

Du kannst zwar dieses Root-Cert aus dem File '.../fullchain.pem' (oder wo 
auch immer es bei Dir unterhalb von /etc/letsencrypt gespeichert ist) 
löschen. Aber auch das wird Dir bei irgendwelchen Uraltclients aus den 
schon in den früheren Mails genannten Gründen nichts bringen.

Viele Grüße
Markus