certificato TLS dell'indirizzo email

[yayo]

L'accesso al mio indirizzo email di tiscali mi informa che è cambiato il certificato TLS ma che non trova l'ente che lo ha emesso: mi chiede se lo accetto.

Organizzazione (tiscali italia spa) e firmatario (sectigo limited) sono gli stessi del precedente, ma anche per il precedente l'anno scorso non trovava l'ente di rilascio.
C'è un motivo per cui succeda una cosa del genere? Qualcuno sa da cosa dipende?

L'ultimo aggiornamento a openssl qualche settimana fa mi lamentava un "rehash: warning: skipping ca-certificates.crt,it does not contain exactly one certificate or CRL".
Potrebbe centrare qualcosa? : /

[yayo]

Dunque, ritorno sul problema: ero convinto di avere il client di posta settato correttamente ma sembra che non fosse così. Forse è stato quando ho cambiato pc l'anno scorso e ho spostato la posta da uno all'altro, ma onestamente non ricordo. Può essere che nella fretta abbia cliccato distrattamente e poi trovandola funzionante mi son dimenticato e non c'ho più guardato.

Sembra che dei due indirizzi di posta che uso uno fosse in chiaro, senza cifratura TLS, l'altro probabilmente era ok, ma comunque non nel modo corretto.
Non ho motivo di ritenere problemi conseguenti, ma così non può stare.

Il server sembra aver rinnovato da poco il certificato ma il client (io uso claws-mail) non lo riconosce ("impossibile trovare ente di rilascio del certificato") e mi chiede di accettarlo manualmente.
Non so bene come funziona, immagino che quando si fa l'handshake client/server il server mandi il certificato e il client verifichi una corrispondenza via fingerprint con quelli presenti in locale via libreria gnutls, o qualcosa del genere.
Probabilmente i certificati sono assolutamente ok (android non fa una piega con gli stessi account sul cell), ma non devo accettarli io a mano, devono essere validati dal software, altrimenti è una procedura inutile.

Ho la sensazione che ci sia un problema nel pc o nel client.

Nelle faq del sito di claws è spiegato che generalmente la cosa non riesce per via dei permessi delle cartelle/file dei certificati (https://www.claws-mail.org/faq/index.php/SSL/TLS_certificate_verification_errors).
Ma le mie cartelle sono impostate a drwxr-xr-x e i file sono -rw-r--r-- quindi le cartelle sono accessibili e i file sono tutti leggibili.

I file dei certificati sono in /usr/share/ca-certificates/mozilla/ e linkati in /ets/ssl/certs/
L'unica differenza nelle due cartelle è il file ca-certificates.crt che ne contiene più di uno ed è presente solo nella cartella dei link. Non so perché (e che poi è quello che genera il warning di cui parlavo nel post precedente).

Nel file di configurazione di claws (in ~/.claws-mail/clawsrc) il path è impostato di default su attach_load_directory=/usr/share/ca-certificates/mozilla e le uniche due opzioni ssl sono disattivate (di default, come mi par di capire sia giusto, visto che servono a saltare le procedure di verifica): skip_ssl_cert_check=0 e unsafe_ssl_certs=0

Le impostazione per account, su TLS sono 3 sia per SMTP sia per POP (1=no, 2=usa TLS, 3=usa STARTTLS), poi ci sono spazi per inserire certificati specifici con password per ricezione e invio (ma dovrebbero essere per usi diversi e specifici, mi par di capire), e due opzioni: 1 "accetta automaticamente certificati TLS validi" che è attiva, e 2 "usa non-blocking TLS" (con la nota "disattiva se hai problemi di connessione tls") disattivata (ma attivarla non cambia nulla).

C'è una impostazione negli account per settare manualmente le porte a 465 (smtp) e 995 (pop), ma se attivo la connessione TLS dovrebbere essere una impostazione ridondante (perché le porte di connessione TLS son quelle, e comunque attivandole non cambia nulla).

claws-mail, gnutls e ca-cartificates sono compilati con queste USE flag: