Dovecot & certificaten

Zoals ik al vertelde, was het nodig om het SSL-certificaat van mijn e-mailserver (post.helptux.be) te vernieuwen.

En natuurlijk moet je dan ook alle applicaties aanpassen. Postfix was mooi aangepast, maar toen weigerde Thunderbird plots mijn e-mails op te halen. En wat vond ik in het logbestand?

May 12 18:01:52 post dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=<>, lip=<>, TLS: SSL_read() failed: error:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate revoked: SSL alert number 44, session=<>

Oeps! Gelukkig snel gefixt.

ssl_cert = </etc/ssl/private/ssl-chain.2017.pem
ssl_key = </etc/ssl/private/2017.key

En maar meteen ook de rest van de SSL-opties wat verbeterd (geïnspireerd door deze fantastische site).

ssl_cipher_list = AES128+EECDH:AES128+EDH
ssl_protocols = !SSLv2 !SSLv3
ssl_prefer_server_ciphers = yes

[GANDI] Expiration of the certificate SSL Standard (post.helptux.be) in 29 days

Het is weer de tijd van het jaar …

Bijna al mijn certificaten gebruiken Let’s Encrypt, maar voor de e-mailserver (sommige mensen draaien dat nog) gebruik ik een betaald certificaat. Ik zou het waarschijnlijk kunnen omzetten, maar voor e-mailservers ben ik nogal conservatief. Zonder e-mail zal ik niet ver lopen.

Alleen spijtig dat ik er (nog) niet ben toe gekomen om Postfix achter Puppet te steken. Dat wordt dus manueel certificaten vervangen …