My blog

Category: TLS/SSL

  • OK Google Mail!

    Starting around 11 April Gmail started to mess with the TLS. If in the “send as” settings you had anything in the MX hostname, that does not match what’s going on after your @ and your cert, your mail server got a reject, even if his origin matches the certificate. I had ‘mx.andreybondarenko.com’, had to…

  • Extract PEM certificates and keys from a shared NSS DB

    $ certutil -L -d . Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI FreeIPA CA CT,C,C $ certutil -L -d . -a -n ‘FreeIPA CA’ > freeipa.crt The PEM certificate should now be stored in free-ipa.crt. To extract the PEM key from key3.db use certutil, pk12util and openssl. $ certutil -K -d . -a $ pk12util -o keys.p12…

  • DKIM=temperror

    Recently I have checked my messages headers of the mail that comes from the andreybondarenko.com MX and found that Google shows that my DKIM signature is invalid: In the spam score section: However the header itself is present: I have found that it’s quite common configuration error of the OpenDKIM, the selector you choose to store key can be chosen randomly, but the TXT record should match /etc/opendkim.conf.…

  • Let’s encrypt cert updates

    Let’s encrypt is wonderful, but certificate are getting expired every 3 months. Since it’s a first time I need to renew them, I have done it manually. The tool authenticates you (by default) with special file created in the .well-know/acme-challenge directory of the root, so the blog engine should not interfere or rewrite anything and should not return it’s own 404 page. Historically my nginx.conf has lots of existing redirects and rules,…

  • Несамоподписанный SSL

    Луна-парк продолжает развиваться: получил у StartSSL сертификат. Теперь могу читать почту в общественном месте. Следующий вопрос: а к Roundcube S/MIME реально прикрутить?

  • Иран

    Вобщем, там закрыли HTTPS. Теперь они не могут завести в поддержке инцидент, так как логин по HTTPS, и активировать продукт они тоже не могут, так как для активации тоже нужен HTTPS. Ну и зачем они это сделали?

  • Web и SSL

    написал хорошую статейку про SSL.С хорошим хинтом про то, что https://google.mail.com/ шифрует и сессию тоже.