Ich verwende seit vielen Jahren icedove (38.7.0) unter Debian Linux um per IMAP auf meinen eigenen Cyrus Mail-Server zuzugreifen. Nach Ablauf des Server-Zertifikats habe ich dieses erneuert. Im selben zeitlichen Kontext sind aber auch die Clients aktualisiert worden.
Nun hängt icedove beim Verbindungsversuch mit der Meldung "foo@bar.baz: Überprüfe den Funktionsumfang des Servers ...". Schalte ich TLS aus, klappt alles wie gewohnt.
Ich habe den Verbindungsversuch mit Wireshark mitgeschnitten. Client Hello und Server Hello inklusive Zertifikatsanforderung sind unauffällig. Allerdings antwortet icedove mit einem Fatal Alert: Bad Certificate. (0x022a) Dem Anwender wird wie gesagt keine Meldung angezeigt.
openssl s_client -starttls imap -crlf -connect 'imap.example.com:143' -CAfile /etc/certs/cacert.pem baut die Verbindung anstandslos ohne irgendwelche Warnungen auf. cacert.pem habe ich natürlich in den Zertifikatsspeicher importiert.
Als weiteren Versuch habe ich das Server-Zertifikat ebenfalls importiert. Auch das ging ohne Probleme und ich kann mir im Zertifikat-Manager die Details beider Zertifikate (CA, Server) ansehen. Es gibt auch keine augenfälligen Abweichungen zu den Zertifikatsinhalten.
Als Signaturalgorithmus wird PKCS #1 SHA-256 With RSA Encryption verwendet. Schlüssellänge ist 2048 Bit.
Gibt es eine Möglichkeit mehr Details zur Zertifikatsprüfung zu bekommen? Oder ist irgendwo dokumentiert, was genau geprüft wird?