hostingprovider heeft raar certificaat

Ik heb mijn website bij een hostingprovider staan met daarbij ook de mailserver. Ik haal met fetchmail mijn mail op van de website. Nu krijg ik sinds een tijdje de volgende melding:

fetchmail: Server CommonName mismatch: www.snakeoil.dom != <mailserver domein>
fetchmail: Server certificate verification error: unable to get local issuer certificate
fetchmail: Server certificate verification error: certificate not trusted
fetchmail: Server certificate verification error: unable to verify the first certificate

Het lijkt erop dat er geen goed certificaat is geinstalleerd bij de hosting provider, maar echt veel begrijp ik er niet van. Wat moet ik hier nu aan doen? Is het tijd om een andere hostingprovider te zoeken?

Ik heb reeds gemeld bij ze dat ik deze foutmeldingen kreeg, maar het advies was om dan maar geen ssl te gebruiken. Dan gaan mijn wachtwoorden onbeschermd het internet over en dat lijkt me ook niet echt fijn.

Op zich werkt het ophalen van email wel, maar fetchmail maakt een email aan waarin deze fout wordt gemeld. Omdat de email elke minuut wordt opgehaald, krijg ik dus elke minuut een mail met deze melding en dat telt toch aardig op. Daar wil ik wel vanaf minimaal.

Ik had al flink wat gegoogled, maar daar was ik nog niet uitgekomen. Ik heb nu een certificate in de hostingprovider.pem file zitten en de meldingen veranderen zodanig dat ik nu een error krijg ipv de warning.

fetchmail: Server CommonName mismatch: www.snakeoil.dom != <mailserver-adres>
fetchmail: Server certificate verification error: unable to get local issuer certificate
5262:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:983:
fetchmail: SSL connection failed.
fetchmail: socket error while fetching from <emailadres@mailserver-adres>
fetchmail: Query status=2 (SOCKET)

Kees schreef op maandag 01 maart 2010 @ 12:23:
Leuk dat ze een self signed certificaat gebruiken, maar op zijn minst kunnen ze dan wel gewoon de juiste mailserver adres als cn instellen ipv gewoon op enter te rammen en alle default waardes over te nemen (snakeoil.dom wordt heel veel als voorbeeld gebruikt).

Dus als ik het goed begrijp, zou de procedure moeten zijn dat ik aan de hostingprovider verzoek om een self-signed certificaat te genereren met de goede cn erin. Vervolgens kan ik dat certificaat importeren in mijn config en dan zouden de warnings weg moeten zijn.

Kunnen of willen ze dat niet doen, dan wordt het tijd voor een nieuwe hostingprovider?

Ik denk dat ik ze verkeerd gequote heb. Ze geven aan dat ze geen certificates ondersteunen bij het mailophalen, niet dat je niet via ssl kunt ophalen.

Vervelende is echter dat ik fetchmail niet zover leek te krijgen om niet naar dat certificaat te kijken. Ik heb nu echter uitgevogeld dat als ik protocol IMAP gebruik en het commando "sslproto ssl23" toevoeg aan de opdrachtregel in .fetchmailrc dat er dan geen TLS wordt gebruikt en daardoor ook geen foutmeldingen meer krijg.

Enige is dat ik nu niet zeker weet of ik de mail nog op een veilige manier ophaal of niet.

Antaresje schreef op dinsdag 02 maart 2010 @ 21:57:
[...]


Dan installeer je wireshark en ga je je netwerkverkeer sniffen op het moment dat je mail ophaalt. Dan zie je snel genoeg of je pakketjes encrypted over het netwerk gaan of niet.

Dat is een goede tip, dat kende ik nog niet.

Ik heb inmiddels al gezien dat het niet secure gaat. Als ik fetchmail op verbose zet, zie ik precies wat hij uitspookt en de mail wordt van poort 143 gehaald en dat is niet encrypted. SSL enabled imap zit op poort 993. Helaas, dus.