J'utilise sendmail depuis très très très longtemps sur des systèmes
variés sans aucun problème. Depuis quelques jours, je me prends des
erreurs du type :
Deferred: 403 4.7.0 TLS handshake failed.
sur un nombre de domaines croissant. Je viens de patcher sauvagement le
sendmail de debian avec tls_failures.m4 issu de la prochain mouture de
sendmail pour tenter de corriger ce problème pénible.
J'obtiens cette erreur malgré des MX qui renvoient par exemple :
openssl s_client -starttls smtp -connect mxav.alciom.com:25
CONNECTED(00000003)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA
Limited, CN = COMODO RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA
Limited, CN = COMODO RSA Domain Validation Secure Server CA
verify return:1
depth=0 OU = Domain Control Validated, OU = Hosted by Dada S.p.A., OU =
COMODO SSL Wildcard, CN = *.securemail.pro
verify return:1
---
Certificate chain
0 s:/OU=Domain Control Validated/OU=Hosted by Dada S.p.A./OU=COMODO
SSL Wildcard/CN=*.securemail.pro
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust
External CA Root
3 s:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust
External CA Root
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust
External CA Root
---
Server certificate
-----BEGIN CERTIFICATE-----
gnagnagna....
-----END CERTIFICATE-----
subject=/OU=Domain Control Validated/OU=Hosted by Dada S.p.A./OU=COMODO
SSL Wildcard/CN=*.securemail.pro
issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA
Limited/CN=COMODO RSA Domain Validation Secure Server CA
---
No client certificate CA names sent
Server Temp Key: DH, 1024 bits
---
SSL handshake has read 6572 bytes and written 407 bytes
Verification: OK
---
New, SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID:
4855492DCD4A58B3C060C471048FA2F0DC01515F29AFB8414A80E859746BF50E
Session-ID-ctx:
Master-Key:
C01365653CB02B341D8D7909A855A073169AFA96C85E6A6E3818718C9216B1C93751F3A6BBFD218668751247F43F6D92
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket:
gnagnagna....
Start Time: 1505306080
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---
250 OK
qui me semble tout à fait valable (d'autant que dans cet exemple, le
serveur d'en face renvoie "Secure Renegotiation IS supported"). Suis-je
le seul à tomber sur ce genre de chose actuellement ? Je n'ai pas
l'impression que je puis faire autre chose que de demander à mon
sendmail de ne pas utiliser TLS lorsqu'il tombe sur une telle erreur
puisque j'ai l'affreuse impression que le problème se situe côté MX client.
J'ai pu remarquer que certains MX renvoyant cette erreur n'envoyaient
aucun certificat hier (typiquement ac-limoges.fr), en indiquant
fièrement que la renégociation du protocole était interdite, et se
permettent d'en envoyer un aujourd'hui. La question subsidiaire est :
quelqu'un sait-il s'il y a eu une mise à jour quelconque de serveurs de
mails commerciaux qui pourrait donner ce genre d'erreur récemment ? Je
trouve bizarre que des domaines qui n'ont rien à voir entre eux posent
des problèmes simultanément.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
BERTRAND Jo=c3=abl
Rhohhh pétard, c'est encore bien pire que cela : https://lists.debian.org/debian-user/2017/09/msg00210.html J'aime bien Debian, mais les petits devs qui savent mieux que les autres ce qui est bon pour eux, ça me gave, mais ça me gave !... Autoritairement, openssl de Debian est patché pour n'accepter que TLS à partir de 1.2. On se contrefiche royalement de tout ce qui peut encore décider de n'utiliser que les versions inférieures et de tous les effets de bord.
J'aime bien Debian, mais les petits devs qui savent mieux que les autres
ce qui est bon pour eux, ça me gave, mais ça me gave !...
Autoritairement, openssl de Debian est patché pour n'accepter que TLS à
partir de 1.2. On se contrefiche royalement de tout ce qui peut encore
décider de n'utiliser que les versions inférieures et de tous les effets
de bord.
Rhohhh pétard, c'est encore bien pire que cela : https://lists.debian.org/debian-user/2017/09/msg00210.html J'aime bien Debian, mais les petits devs qui savent mieux que les autres ce qui est bon pour eux, ça me gave, mais ça me gave !... Autoritairement, openssl de Debian est patché pour n'accepter que TLS à partir de 1.2. On se contrefiche royalement de tout ce qui peut encore décider de n'utiliser que les versions inférieures et de tous les effets de bord.
BERTRAND Jo=c3=abl
Frédéric MASSOT a écrit :
Le 13/09/2017 à 15:00, BERTRAND Joël a écrit :
Rhohhh pétard, c'est encore bien pire que cela : https://lists.debian.org/debian-user/2017/09/msg00210.html J'aime bien Debian, mais les petits devs qui savent mieux que les autres ce qui est bon pour eux, ça me gave, mais ça me gave !... Autoritairement, openssl de Debian est patché pour n'accepter que TLS à partir de 1.2. On se contrefiche royalement de tout ce qui peut encore décider de n'utiliser que les versions inférieures et de tous les effets de bord.
Le paquet "apt-listchanges" permet voir les nouveautés lors des mises à jour. Lors de la mise à jour du paquet openssl j'ai eu le message : openssl (1.1.0f-5) unstable; urgency=medium By default the minimum supported TLS version is 1.2. If you still need to talk to applications that only support TLS 1.0 you should configure the application to set the minimum supported version.
Très certes. J'avais bien vu ça. Sauf que j'avais zappé l'effet de bord de serveur distants sur lesquels je n'ai pas la main. JKB
J'aime bien Debian, mais les petits devs qui savent mieux que les autres
ce qui est bon pour eux, ça me gave, mais ça me gave !...
Autoritairement, openssl de Debian est patché pour n'accepter que TLS à
partir de 1.2. On se contrefiche royalement de tout ce qui peut encore
décider de n'utiliser que les versions inférieures et de tous les effets
de bord.
Le paquet "apt-listchanges" permet voir les nouveautés lors des mises à
jour.
Lors de la mise à jour du paquet openssl j'ai eu le message :
openssl (1.1.0f-5) unstable; urgency=medium
By default the minimum supported TLS version is 1.2. If you still need
to talk to applications that only support TLS 1.0 you should configure
the application to set the minimum supported version.
Très certes. J'avais bien vu ça. Sauf que j'avais zappé l'effet de bord
de serveur distants sur lesquels je n'ai pas la main.
Rhohhh pétard, c'est encore bien pire que cela : https://lists.debian.org/debian-user/2017/09/msg00210.html J'aime bien Debian, mais les petits devs qui savent mieux que les autres ce qui est bon pour eux, ça me gave, mais ça me gave !... Autoritairement, openssl de Debian est patché pour n'accepter que TLS à partir de 1.2. On se contrefiche royalement de tout ce qui peut encore décider de n'utiliser que les versions inférieures et de tous les effets de bord.
Le paquet "apt-listchanges" permet voir les nouveautés lors des mises à jour. Lors de la mise à jour du paquet openssl j'ai eu le message : openssl (1.1.0f-5) unstable; urgency=medium By default the minimum supported TLS version is 1.2. If you still need to talk to applications that only support TLS 1.0 you should configure the application to set the minimum supported version.
Très certes. J'avais bien vu ça. Sauf que j'avais zappé l'effet de bord de serveur distants sur lesquels je n'ai pas la main. JKB
Artur
C'est peut-être une question un peu naïve, mais est-ce raisonnable d'utiliser des versions instables de Debian dans ce qui semble être un environnement de prod ? Le 13/09/2017 à 15:00, BERTRAND Joël a écrit :
Rhohhh pétard, c'est encore bien pire que cela : https://lists.debian.org/debian-user/2017/09/msg00210.html J'aime bien Debian, mais les petits devs qui savent mieux que les autres ce qui est bon pour eux, ça me gave, mais ça me gave !... Autoritairement, openssl de Debian est patché pour n'accepter que TLS à partir de 1.2. On se contrefiche royalement de tout ce qui peut encore décider de n'utiliser que les versions inférieures et de tous les effets de bord.
-- Cordialement, Artur
C'est peut-être une question un peu naïve, mais est-ce raisonnable
d'utiliser des versions instables de Debian dans ce qui semble être un
environnement de prod ?
J'aime bien Debian, mais les petits devs qui savent mieux que les
autres ce qui est bon pour eux, ça me gave, mais ça me gave !...
Autoritairement, openssl de Debian est patché pour n'accepter que TLS
à partir de 1.2. On se contrefiche royalement de tout ce qui peut
encore décider de n'utiliser que les versions inférieures et de tous
les effets de bord.
C'est peut-être une question un peu naïve, mais est-ce raisonnable d'utiliser des versions instables de Debian dans ce qui semble être un environnement de prod ? Le 13/09/2017 à 15:00, BERTRAND Joël a écrit :
Rhohhh pétard, c'est encore bien pire que cela : https://lists.debian.org/debian-user/2017/09/msg00210.html J'aime bien Debian, mais les petits devs qui savent mieux que les autres ce qui est bon pour eux, ça me gave, mais ça me gave !... Autoritairement, openssl de Debian est patché pour n'accepter que TLS à partir de 1.2. On se contrefiche royalement de tout ce qui peut encore décider de n'utiliser que les versions inférieures et de tous les effets de bord.
-- Cordialement, Artur
BERTRAND Jo=c3=abl
Artur a écrit :
C'est peut-être une question un peu naïve, mais est-ce raisonnable d'utiliser des versions instables de Debian dans ce qui semble être un environnement de prod ?
Ce n'est pas unstable mais testing parce que stable est un peu ancienne pour les applications qui tournent sur cette machine. Habituellement, je fais très attention aux mises à jours. Je n'ai pas vu venir l'effet de bord (serveurs de mails distants qui refusaient la renégociation sur TLS). Nonobstant ceci, il est fort probable que ce paquet termine dans stable avec tous les problèmes qui s'ensuivront. Nous sommes exactement dans la situation d'il y a quelques années où un développeur Debian avait trouvé malin d'optimiser le code d'OpenSSL en introduisant une subtile erreur. Ici, on modifie le code de la bibliothèque parce que c'est certainement plus sécurisant en se foutant éperdument des conséquences et des problèmes d'interopérabilité. C'est un peu gênant. Et comme les logs se trouvent sur les serveurs distants sur lesquels on n'a pas la main, il peut se passer beaucoup de temps avant qu'on découvre le problème (je m'en suis aperçu parce que deux domaines posaient problème en émission, problème corrigé en patchant sendmail, et ce n'est qu'en analysant les logs de sendmail que j'ai trouvé quelques lignes bizarres.). Cordialement, JKB
Artur a écrit :
C'est peut-être une question un peu naïve, mais est-ce raisonnable
d'utiliser des versions instables de Debian dans ce qui semble être un
environnement de prod ?
Ce n'est pas unstable mais testing parce que stable est un peu ancienne
pour les applications qui tournent sur cette machine.
Habituellement, je fais très attention aux mises à jours. Je n'ai pas
vu venir l'effet de bord (serveurs de mails distants qui refusaient la
renégociation sur TLS).
Nonobstant ceci, il est fort probable que ce paquet termine dans stable
avec tous les problèmes qui s'ensuivront. Nous sommes exactement dans la
situation d'il y a quelques années où un développeur Debian avait trouvé
malin d'optimiser le code d'OpenSSL en introduisant une subtile erreur.
Ici, on modifie le code de la bibliothèque parce que c'est certainement
plus sécurisant en se foutant éperdument des conséquences et des
problèmes d'interopérabilité. C'est un peu gênant. Et comme les logs se
trouvent sur les serveurs distants sur lesquels on n'a pas la main, il
peut se passer beaucoup de temps avant qu'on découvre le problème (je
m'en suis aperçu parce que deux domaines posaient problème en émission,
problème corrigé en patchant sendmail, et ce n'est qu'en analysant les
logs de sendmail que j'ai trouvé quelques lignes bizarres.).
C'est peut-être une question un peu naïve, mais est-ce raisonnable d'utiliser des versions instables de Debian dans ce qui semble être un environnement de prod ?
Ce n'est pas unstable mais testing parce que stable est un peu ancienne pour les applications qui tournent sur cette machine. Habituellement, je fais très attention aux mises à jours. Je n'ai pas vu venir l'effet de bord (serveurs de mails distants qui refusaient la renégociation sur TLS). Nonobstant ceci, il est fort probable que ce paquet termine dans stable avec tous les problèmes qui s'ensuivront. Nous sommes exactement dans la situation d'il y a quelques années où un développeur Debian avait trouvé malin d'optimiser le code d'OpenSSL en introduisant une subtile erreur. Ici, on modifie le code de la bibliothèque parce que c'est certainement plus sécurisant en se foutant éperdument des conséquences et des problèmes d'interopérabilité. C'est un peu gênant. Et comme les logs se trouvent sur les serveurs distants sur lesquels on n'a pas la main, il peut se passer beaucoup de temps avant qu'on découvre le problème (je m'en suis aperçu parce que deux domaines posaient problème en émission, problème corrigé en patchant sendmail, et ce n'est qu'en analysant les logs de sendmail que j'ai trouvé quelques lignes bizarres.). Cordialement, JKB
Artur
Le 13/09/2017 à 17:35, BERTRAND Joël a écrit :
Ce n'est pas unstable mais testing parce que stable est un peu ancienne pour les applications qui tournent sur cette machine.
On va pas pinailler. Testing qui sortira en Stable dans 2 ans, c'est un peu "instable". On est pas sur une version figée dont les applications et les fonctionnalités n'évoluent plus.
il est fort probable que ce paquet termine dans stable avec tous les problèmes qui s'ensuivront.
Ce n'est pas ce qui se dit dans le topic dont tu as donné le lien. Cette modif ne devrait pas atterrir dans Stretch. Et a priori, l'idée est de garder cette modif jusqu'à peu avant la sortie de la nouvelle Debian, c'est à dire aussi longtemps que possible, avant de revenir dessus si nécessaire. Bon, je n'ai pas lu les échanges dans la ML des dévs, je n'ai pas la justification de cette démarche. -- Cordialement, Artur.
Le 13/09/2017 à 17:35, BERTRAND Joël a écrit :
Ce n'est pas unstable mais testing parce que stable est un peu
ancienne pour les applications qui tournent sur cette machine.
On va pas pinailler. Testing qui sortira en Stable dans 2 ans, c'est un
peu "instable". On est pas sur une version figée dont les applications
et les fonctionnalités n'évoluent plus.
il est fort probable que ce paquet termine dans stable avec tous les
problèmes qui s'ensuivront.
Ce n'est pas ce qui se dit dans le topic dont tu as donné le lien. Cette
modif ne devrait pas atterrir dans Stretch.
Et a priori, l'idée est de garder cette modif jusqu'à peu avant la
sortie de la nouvelle Debian, c'est à dire aussi longtemps que possible,
avant de revenir dessus si nécessaire. Bon, je n'ai pas lu les échanges
dans la ML des dévs, je n'ai pas la justification de cette démarche.
Ce n'est pas unstable mais testing parce que stable est un peu ancienne pour les applications qui tournent sur cette machine.
On va pas pinailler. Testing qui sortira en Stable dans 2 ans, c'est un peu "instable". On est pas sur une version figée dont les applications et les fonctionnalités n'évoluent plus.
il est fort probable que ce paquet termine dans stable avec tous les problèmes qui s'ensuivront.
Ce n'est pas ce qui se dit dans le topic dont tu as donné le lien. Cette modif ne devrait pas atterrir dans Stretch. Et a priori, l'idée est de garder cette modif jusqu'à peu avant la sortie de la nouvelle Debian, c'est à dire aussi longtemps que possible, avant de revenir dessus si nécessaire. Bon, je n'ai pas lu les échanges dans la ML des dévs, je n'ai pas la justification de cette démarche. -- Cordialement, Artur.
Charles Plessy
Le Wed, Sep 13, 2017 at 05:35:15PM +0200, BERTRAND Joël a écrit :
Nonobstant ceci, il est fort probable que ce paquet termine dans stable avec tous les problèmes qui s'ensuivront.
Mais avec les notes de publication qui y répondront. Bonne journée, Charles -- Charles Plessy Tsurumi, Kanagawa, Japon
Le Wed, Sep 13, 2017 at 05:35:15PM +0200, BERTRAND Joël a écrit :
Nonobstant ceci, il est fort probable que ce paquet termine dans
stable avec tous les problèmes qui s'ensuivront.
Mais avec les notes de publication qui y répondront.