Я в отчаянии:
Я переместил два домена с одного сервера на другой, который работал без сбоев.
Я защитил оба домена (веб и почту) с помощью сертификатов Letsencrypt.Теперь владелец этих доменов пожаловался на неработающий почтовый сервер. Но этого не могло быть, потому что другие домены могли отправлять и получать электронную почту.
При устранении неполадок я заметил, что веб-страницы не могут быть получены с моего сервера в macOS или iOS. (Соединение отклонено - Безопасное соединение не может быть установлено). Под Windows/Linux/Android все это без проблем и почтовый трафик тоже работает без нареканий. Итак, что происходит? Похоже, Apple не может работать с созданными сертификатами Letsencrypt. Что я не могу представить.
У кого-нибудь есть идеи по этому поводу?
Спасибо за вашу помощь.
Сервер: Ubuntu 20.04, под управлением Plesk
Клиент: macOS Catalina, Apple Mail
---[РЕДАКТИРОВАТЬ]---
я побежал
openssl s_client -подключить maildomain.com:465
на компьютере с Windows И Mac, чтобы проверить, что происходит при соединении с моим почтовым сервером. Результат на ПК:
ПОДКЛЮЧЕН(00000003)
depth=2 C = США, O = Исследовательская группа по безопасности в Интернете, CN = ISRG Root X1
проверить возврат: 1
depth=1 C = US, O = Let’s Encrypt, CN = R3
проверить возврат: 1
глубина = 0 CN = maildomain.com
проверить возврат: 1
---
Цепочка сертификатов
0 s:CN = maildomain.com
i:C = US, O = Let’s Encrypt, CN = R3
1 s:C = US, O = Let’s Encrypt, CN = R3
i:C = США, O = Исследовательская группа по безопасности в Интернете, CN = ISRG Root X1
2 s:C = США, O = Исследовательская группа по безопасности в Интернете, CN = ISRG Root X1
i:O = Digital Signature Trust Co., CN = DST Root CA X3
---
Сертификат сервера
-----НАЧАТЬ СЕРТИФИКАТ-----
MIIFJzCCBA+gAwIBAgISBBHHETtaspqio7t1ZKYQ36xHMA0GCSqGSIb3DQEBCwUA
MDIxCzAJBgNVBAYTALVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQswCQYDVQQD
EwJSMzAeFw0yMTEwMDUwNzQyMjVaFw0yMjAx ... и т.д.
-----КОНЕЦ СЕРТИФИКАТА-----
тема = CN = maildomain.com
эмитент = C = США, O = Let's Encrypt, CN = R3
---
Имена ЦС сертификата клиента не отправлены
Дайджест одноранговой подписи: SHA256
Тип одноранговой подписи: RSA-PSS
Временный ключ сервера: X25519, 253 бита
---
SSL-рукопожатие прочитало 4676 байт и записало 395 байт.
Проверка: ОК
---
Новый, TLSv1.2, шифр ECDHE-RSA-AES256-GCM-SHA384.
Открытый ключ сервера 2048 бит.
Поддерживается безопасное повторное согласование IS
Сжатие: НЕТ
Расширение: НЕТ
ALPN не согласован
SSL-сессия:
Протокол: TLSv1.2
Шифр: ECDHE-RSA-AES256-GCM-SHA384
Идентификатор сеанса: DDE8ED4DBF7BD8E8F2D411EDE00C7522C0A15927E3D0C75F58F174B7464270D3
Идентификатор сеанса-ctx:
Мастер-ключ: 6D3167E0283ED9BA1F6427841212C8BAF37FF75998B369DE4184618EF9BFBE9F8860809CC9B7xxxxxxxxxxxxxxxxxxxxxx
Идентификация PSK: нет
Подсказка идентификации PSK: нет
Имя пользователя SRP: нет
Подсказка о сроке действия билета сеанса TLS: 7200 (секунд)
Билет сеанса TLS:
0000 - 21 be ab 05 b8 95 30 14-cf c1 ff 7d 98 aa 3c 82 !.....0....}..<. ... и т.д...
Время начала: 1633683311
Время ожидания: 7200 (сек)
Подтвердите код возврата: 0 (хорошо)
Расширенный главный секрет: да
---
220 my.server.com Постфикс ESMTP (Debian/GNU)
уволиться
221 2.0.0 Пока
закрыто
И вот ответ на Mac:
ПОДКЛЮЧЕН(00000003)
341: ошибка: 1407742E: процедуры SSL: SSL23_GET_SERVER_HELLO: версия протокола предупреждений tlsv1: S23_clnt.c: 596:
Итак, похоже, что Mac не поддерживает TLS1.2/TLS1.3...
Любые предложения, что делать?
