certificato TLS dell'indirizzo email

[yayo]

L'accesso al mio indirizzo email di tiscali mi informa che è cambiato il certificato TLS ma che non trova l'ente che lo ha emesso: mi chiede se lo accetto.

Organizzazione (tiscali italia spa) e firmatario (sectigo limited) sono gli stessi del precedente, ma anche per il precedente l'anno scorso non trovava l'ente di rilascio.
C'è un motivo per cui succeda una cosa del genere? Qualcuno sa da cosa dipende?

L'ultimo aggiornamento a openssl qualche settimana fa mi lamentava un "rehash: warning: skipping ca-certificates.crt,it does not contain exactly one certificate or CRL".
Potrebbe centrare qualcosa? : /

[yayo]

Dunque, ritorno sul problema: ero convinto di avere il client di posta settato correttamente ma sembra che non fosse così. Forse è stato quando ho cambiato pc l'anno scorso e ho spostato la posta da uno all'altro, ma onestamente non ricordo. Può essere che nella fretta abbia cliccato distrattamente e poi trovandola funzionante mi son dimenticato e non c'ho più guardato.

Sembra che dei due indirizzi di posta che uso uno fosse in chiaro, senza cifratura TLS, l'altro probabilmente era ok, ma comunque non nel modo corretto.
Non ho motivo di ritenere problemi conseguenti, ma così non può stare.

Il server sembra aver rinnovato da poco il certificato ma il client (io uso claws-mail) non lo riconosce ("impossibile trovare ente di rilascio del certificato") e mi chiede di accettarlo manualmente.
Non so bene come funziona, immagino che quando si fa l'handshake client/server il server mandi il certificato e il client verifichi una corrispondenza via fingerprint con quelli presenti in locale via libreria gnutls, o qualcosa del genere.
Probabilmente i certificati sono assolutamente ok (android non fa una piega con gli stessi account sul cell), ma non devo accettarli io a mano, devono essere validati dal software, altrimenti è una procedura inutile.

Ho la sensazione che ci sia un problema nel pc o nel client.

Nelle faq del sito di claws è spiegato che generalmente la cosa non riesce per via dei permessi delle cartelle/file dei certificati (https://www.claws-mail.org/faq/index.php/SSL/TLS_certificate_verification_errors).
Ma le mie cartelle sono impostate a drwxr-xr-x e i file sono -rw-r--r-- quindi le cartelle sono accessibili e i file sono tutti leggibili.

I file dei certificati sono in /usr/share/ca-certificates/mozilla/ e linkati in /ets/ssl/certs/
L'unica differenza nelle due cartelle è il file ca-certificates.crt che ne contiene più di uno ed è presente solo nella cartella dei link. Non so perché (e che poi è quello che genera il warning di cui parlavo nel post precedente).

Nel file di configurazione di claws (in ~/.claws-mail/clawsrc) il path è impostato di default su attach_load_directory=/usr/share/ca-certificates/mozilla e le uniche due opzioni ssl sono disattivate (di default, come mi par di capire sia giusto, visto che servono a saltare le procedure di verifica): skip_ssl_cert_check=0 e unsafe_ssl_certs=0

Le impostazione per account, su TLS sono 3 sia per SMTP sia per POP (1=no, 2=usa TLS, 3=usa STARTTLS), poi ci sono spazi per inserire certificati specifici con password per ricezione e invio (ma dovrebbero essere per usi diversi e specifici, mi par di capire), e due opzioni: 1 "accetta automaticamente certificati TLS validi" che è attiva, e 2 "usa non-blocking TLS" (con la nota "disattiva se hai problemi di connessione tls") disattivata (ma attivarla non cambia nulla).

C'è una impostazione negli account per settare manualmente le porte a 465 (smtp) e 995 (pop), ma se attivo la connessione TLS dovrebbere essere una impostazione ridondante (perché le porte di connessione TLS son quelle, e comunque attivandole non cambia nulla).

claws-mail, gnutls e ca-cartificates sono compilati con queste USE flag:

[yayo]

Sto cominciando ad arrabbiarmi.
Se col client su android gli indirizzi email funzionano senza battere ciglio, sul pc devono funzionare uguale.
Ma non riesco a venirne a capo.

Ho provato a lanciare claws da linea di comando per verificare l'output. Si lamenta che non riesce a inizializzare il TLS ("** (claws-mail:10259): WARNING **: 20:32:24.473: can't initialize TLS") ma non capisco cosa voglia dire. È un problema collegato a claws, a gnutls o ai file dei certificati?

Ho provato a installare un altro client (balsa) per fare una prova, ma mi da problemi di tipo diverso (fallisce l'autenticazione, sembra che per qualche motivo non salvi la password che inserisco... ma quindi il TLS qui funziona?).

Qualcun'altro usa claws? Qualche idea?

[yayo]

Quindi, riassumendo dopo le opportune ricerche: client di posta per ambiente grafico non ce ne sono tanti: claws, balsa, evolution, geary e thunderbird (escludo roundcube che è per browser).

Sarebbe sufficiente, se non fosse che tutti tirano dentro almeno 50-60 pacchetti aggiuntivi, a parte claws (non ricordo quanti ne richiede ma non sono molti, avevo cominciato a usarlo anche per questo) e balsa (ma solo a patto di non attivare la flag per webkit).

Evolution me ne chiama 60 per un totale di 100mb, geary 63, balsa con webkit 53 e thunderbird 27 (ma da solo pesa 650mb)!
(Kmail non lo voglio nemmeno sentir nominare: è in sezione kde-specifica e chiede 197 file per 1.472.710 KiB! Vorrei solo leggere la posta, non allevare pachidermi!)

Le alternative sono i software via terminale, che anche lì non son proprio tante: aerc, alphine mutt e neomutt, s-nail... ?
Però onestamente non mi entusiasmano molto. Ci darò un occhio per tenerne uno come ripiego.

Sono riuscito a far funzionare balsa, ma non salva le password e me le richiede a ogni avvio.
Inoltre (tralasciando una certa confusione nella gestione/visualizzazione delle mailbox create/cancellate) non mi permette di differenziare quelle di base (in, out, sent, draft, trash) per identità/indirizzo come invece fa claws.

Non ho ancora trovato un log che mi confermi dell'avvenuta connessione via TLS in balsa, ma dato che l'ho impostato e si connette senza fare una piega (come deve essere) presumo sia funzionale.

E quindi i certificati in arrivo e in locale sono ok, come anche la libreria usata (gnutls).
Deve essere claws ad avere problemi. O ho sbagliato io qualche impostazione o è un bug.

Nella lista dei bug conosciuti a gentoo non ho visto niente di simile. E poi mi par strano che non se ne sia mai accorto nessuno.
Ma è anche possibile che qualche software sia poco usato e/o che nessuno abbia mai segnalato il bug (non sarebbe la prima volta, come il segfault che ho riscontrato in passato in cdw, che sospetto essere ancora lì, o il mio spacefm che da anni va in crash quando trascino un file nell'albero cartelle. Sono palesemente bug di qualche tipo ma non sono mai stati segnalati, per pigrizia o perché non s'ha tempo poi di seguire il debug).

Sono in difficoltà. Per ora ho impostato il balsa in IMAP invece che POP, per leggere le mail al bisogno ma senza scaricare nulla, così da non avere poi archivi di posta metà da una parte in un formato e metà da un'altra in un formato diverso.
Ma sono restio a togliere claws: è in proporzione quello più "sottile" ma col maggior range di funzioni.
Che faccio? : /

[yayo]

Non ho ancora chiarito.

Ho trovato indicazioni che qualche anno fa c'era stato un problema simile: in quel caso dipendeva dalla libreria libetpan non compilata con use flag gnutls come claws (strano però che se è necessaria non sia una use flag attiva di default).
Comunque non è questo il caso: ho provato a ricompilare libetpan con use gnutls, ma non cambia nulla.

Ho provato con un indirizzo email diverso (altro provider) e con quello sembra funzionare (mi dice "corretto"). Sulla base di questo parrebbe il certificato del provider a non essere conforme.
Ma su android è ok. Vero però che Android è un sistema diverso. Però allora perché balsa su questo stesso sistema non segnala problemi?

Forse claws è più "strict" nella verifica e balsa un po' meno? Boh..

Proverò con un altro client per vedere come si comporta.
Ho visto anche che claws ha una serie di impostazioni nascoste. Proverò anche quello.

P.S.
Uh! 100 post! yay!