This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

TLS [9.210-20] Negotation Selectively Failing After Latest Update

I applied the 9.210-20 update last evening so I could update the TLS certificate (previous bug fixed with this version). The previous cert was expired, but somehow had not been affecting any incoming email. I'm guessing because the firewall just forwards email on to our on-premise exchange server (?). In testing today, I'm noticing no incoming email from google (and several other providers) but plenty from others. Looking the at the SMTP log, I see the following: 

2014:12:05-02:25:37 rhythm exim-in[9951]: 2014-12-05 02:25:37 TLS error on connection from mail-ie0-f182.google.com [209.85.223.182]:59201 (SSL_accept): error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
2014:12:05-02:25:37 rhythm exim-in[9951]: 2014-12-05 02:25:37 TLS client disconnected cleanly (rejected our certificate?)
2014:12:05-02:25:37 rhythm exim-in[9951]: 2014-12-05 02:25:37 SMTP connection from mail-ie0-f182.google.com [209.85.223.182]:59201 closed by EOF

The certificate is an Exchange UCC from digicert. I exported from our Exchange server to a pfx, imported it into the UTM, and selected that cert under SMPT->Advanced->TLS. I have the intermediate installed on the firewall and it all appears to be installed correctly. Is there a problem with how these certs are installed or is there a problem with this new version of firmware?

Note that I submitted this a case to support and did not get very far.


This thread was automatically locked due to age.
Parents Reply
  • I had support enable SSL 3.0 , probably as the above mentioned workaround details.  The problem is now resolved, at least until I apply the next update.

    I find it ironic that Google mail servers are still using SSL 3.0 when they are the ones who discovered it in the first place.  This also fixed the main issue I was having, which was trying to do an SMTP relay from the UTM from Office 365.  TLS negotiation with Microsoft did not work until after enabling SSL 3.0.

    Given the fact that Google and Microsoft are still using SSL 3, I question the decision to disable it across the board.  I would be fine with http/https, but including SMTP caused quite a headache.
Children
No Data