某所の Mail サーバ に spam フィルタ(bsfilter)を仕込んで撃墜した後に gmail へ転送していて, 偶に誤爆を check しています.

久々に誤爆の check の為に Mew の pop over ssl で接続したところ

 Creating an SSL/TLS connection...FAILED (cert verify failure)

...おやー? 試しに openssl で接続してみた.

SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: ----
    Session-ID-ctx:
    Master-Key: ----
    Key-Arg   : None
    Start Time: 1246544403
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)

確かに verify failuer です.mew には ssl-verify-level が設定できるので

 (setq mew-ssl-verify-level 0)

としてみたら接続はできた.*1

lenny の機械で試しに接続したら

SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID:  ----
    Session-ID-ctx:
    Master-Key:  ----
    Key-Arg   : None
    Start Time: 1246544879
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

あら, 接続できましたよ.

/usr/share/ca-certificates 以下を比較してみたらEquifax_Secure_Global_eBusiness_CA.crt が無い.

調べてみたら ca-certificates の Bug 報告にありました

• CA certificate Equifax Secure Global eBusiness CA-1 is missing

というわけで upgrade して dpkg-reconfigure ca-cetificates したら元に戻る.

...ca-cetificates の debconf. 「All」って選択肢欲しいなぁ, とかちょっと思った.