Pesadelo com Let's Encrypt X3

wlandgraf · Setembro 30, 2021, 10:51pm

Estou recebendo o seguinte erro ao usar o aplicativo mail-receiver a partir de hoje. Antes funcionava perfeitamente.

Ele está tentando enviar o e-mail para o Discourse via API. Será que pode ser causado pela expiração do certificado DST Root CA X3?

Se sim, alguém tem alguma ideia de como resolver? Tentei reconstruir tanto o app quanto o mail-receiver, recriar os certificados do Let’s Encrypt, etc.

\u003e\u003c19\u003e30 de set 22:07:26 receive-mail[96]: Falha ao fazer POST do e-mail para https://forum.validadortiss.com.br/admin/email/handle_mail: SSL_connect retornou=1 errno=0 estado=SSLv3 read server certificate B: verificação de certificado falhou (OpenSSL::SSL::SSLError)

david · Setembro 30, 2021, 11:12pm

Obrigado pelo relatório @wlandgraf - vamos subir uma nova imagem de mail-receiver para o Dockerhub o mais rápido possível.

david · Setembro 30, 2021, 11:24pm

A tag release no Docker Hub foi atualizada. Se você seguiu as instruções oficiais de configuração, pode baixar a nova imagem executando:

cd /var/discourse
./launcher rebuild mail-receiver

wlandgraf · Setembro 30, 2021, 11:31pm

Olá @david, sua resposta rápida é muito apreciada. No entanto, isso não resolveu meu problema. Ele ainda persiste.

david · Setembro 30, 2021, 11:36pm

Em /var/discourse/containers/mail-receiver.yml, o que você tem na linha base_image:? Deve ser:

base_image: discourse/mail-receiver:release

(Mais informações sobre isso aqui)

wlandgraf · Setembro 30, 2021, 11:36pm

Sim, é isso que eu tenho.

wlandgraf · Setembro 30, 2021, 11:38pm

Este é o início do meu arquivo:

## este é o modelo do contêiner receptor de e-mail entrante
##
## Após fazer alterações neste arquivo, você DEVE reconstruir
## /var/discourse/launcher rebuild mail-receiver
##
## TENHA *MUITO* CUIDADO AO EDITAR!
## ARQUIVOS YAML SÃO SUPER SUPER SENSÍVEIS A ERROS DE ESPAÇAMENTO OU ALINHAMENTO!
## visite http://www.yamllint.com/ para validar este arquivo conforme necessário

base_image: discourse/mail-receiver:release
update_pups: false

expose:
  - "25:25"   # SMTP

E aqui está a saída (parcial) da operação de reconstrução (omitidas as partes que contêm chaves de API):

Garantindo que o launcher esteja atualizado
Buscando origin
Launcher está atualizado
Parando o contêiner antigo
+ /usr/bin/docker stop -t 60 mail-receiver
mail-receiver
cd /pups && /pups/bin/pups --stdin
sha256:5f123a8eb11784828d5195ee0f328a0ea5a5d2ce36eeae1760e3d47b0dbeb15c
165ebaa91836a07696924f95d3746cbd1cc14412f478ba715ee40f502780ab7a
Removendo o contêiner antigo
+ /usr/bin/docker rm mail-receiver
mail-receiver

david · Setembro 30, 2021, 11:40pm

Você pode tentar

docker pull discourse/mail-receiver:release
cd /var/discourse
./launcher rebuild mail-receiver

wlandgraf · Setembro 30, 2021, 11:45pm

Isso resolveu! Muito obrigado! Se não se importa, tenho algumas perguntas:

Por que isso foi necessário? Devo sempre puxar manualmente a imagem mais recente antes de compilar?
Preciso aplicar o mesmo procedimento (docker pull) ao reconstruir o aplicativo?
Vi que os e-mails enviados após a reconstrução chegaram, mas não os e-mails enviados anteriormente. Esses e-mails foram perdidos?

david · Setembro 30, 2021, 11:49pm

Parece que a instalação do seu Docker havia armazenado em cache a tag :release. Para evitar a necessidade de um docker pull no futuro, talvez possamos adicionar alguma lógica ao nosso script launcher.

As imagens app são tratadas de forma diferente, então não haverá problema de cache nelas.

Os e-mails enviados durante a interrupção devem ter sido devolvidos ao servidor de envio com um erro “falha temporária”. Esses servidores devem tentar reenviar o e-mail periodicamente, então esperamos que os e-mails faltantes cheguem nas próximas horas.

wlandgraf · Setembro 30, 2021, 11:50pm

Excelente. Obrigado novamente pela resposta rápida. O mundo parece estar sofrendo com essa confusão da Root CA X3, e você agora fez sua contribuição para tornar o mundo um pouco melhor.

pfaffman · Outubro 1, 2021, 12:09am

Alguma dica sobre como detectar se um receptor de e-mail precisa ser atualizado e se o docker pull será necessário?

david · Outubro 1, 2021, 12:12am

Todos os receptores de e-mail instalados antes de hoje precisarão ser atualizados. (tecnicamente, qualquer instalação que use uma imagem base anterior a 67222bded865)

O docker pull será necessário até que atualizemos o launcher (o que é improvável que aconteça hoje ou amanhã). Acabei de publicar um tópico de anúncio aqui, pois sei que isso causará interrupções em muitos sites. Ele inclui instruções de atualização, incluindo o docker pull:

david · Outubro 2, 2021, 7:00am

Este tópico foi fechado automaticamente após 30 horas. Novas respostas não são mais permitidas.

Tópico		Respostas	Visualizações
Self-hosted mail-receiver update following Let's Encrypt root certificate change Self-hosting mail-receiver , letsencrypt	12	2456	10 de Fevereiro de 2022
Mail-receiver log errors after letsencrypt update Support	13	1513	8 de Dezembro de 2021
Direct-delivery email certificate error Support	7	994	10 de Março de 2022
Replying through email suddenly stopped due to Let's Encrypt changes Support	4	999	12 de Janeiro de 2022
Mail-receiver won’t deliver mail to Discourse Self-hosting mail-receiver	16	399	26 de Janeiro de 2023

Pesadelo com Let's Encrypt X3

Tópicos relacionados