Есть почовый сервер Dovecot + Exim. Сделал себе сертификатики от StartSSL, стал прикручивать. Проверил на своем свежем Thunderbird'е - все ок, стал распорстранять клиентам. У многих стоят старые The Bat третьих версий и они отказываются принимать сертификат и работать через STARTTLS или SSL.
Сначала при приеме почты (dovecot) вылазило окно, что не предоставлен корневой сертификат в сесси и кнопки добавиь в исключения были неактивны. Сделал так ssl_ca_file = startssl.com-ca-bundle.pem, кнопки стали активны (или совсем не появлялись, не помню), но теперь The Bat пишет:"Приветствие TLS не завершено. Формат сертификата не поддерживается"
В логе Dovecot'а:
2012-11-07 09:49:21 pop3-login: Info: Disconnected (no auth attempts): rip=10.0.4.252, lip=10.100.100.21, TLS handshaking: SSL_accept() failed: error:14094413:SSL routines:SSL3_READ_BYTES:sslv3 alert unsupported certificate
С Exim'ом похожая ситуация. При отправке так же вылазит окно, что сервер не предоставил корневой сертификат в сессии, кнокпи просмотра сертификата и добавления к доверенным неактивны. Если же делаю
cat smtp.crt startssl.com-ca-bundle.pem > smtp.chained.crt
и этот сертификат скармливаю exim'у, то Бат опять ругается на то, что не поддерживает данный формат сертификата, при этом в логе экзима с определенным сервером лезет:
2012-11-06 17:23:58 TLS error on connection from (mx.audiotele.ru) [213.247.196.194] I=[91.219.75.105]:25 (gnutls_handshake): A TLS packet with unexpected length was received.
Так вот я так и не нашел решения, кроме как обновлять все старые клиенты, в частности The Bat до 5.x версии, или разрешить открытую авторизацию. Может кто что подскажет?...
Обновить все старые клиенты, другого варианта нет