Es scheint, als würden Google Mail-Server seit Mittwoch keine mit dem sha1-Hash-Algorithmus signierten Zwischenzertifikate mehr akzeptieren.
Beim Ausführen des Befehls wurde openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcertsmir mitgeteilt, dass der Mailserver die sha1-Version des Zwischenzertifikats bereitgestellt hat (und noch immer bereitstellt).
Ich kenne den Namen der Intermediate CA, die für Ihren Fall verantwortlich ist, nicht (es ist in Ihrem Fall der 1., in meinem Fall der 2.). Ich bin jedoch sicher, dass Sie auf der CA ein erneut ausgestelltes Intermediate CA-Zertifikat finden werden Webseite. Beim Laufen openssl s_client …mit dem -showcertsParameter sollte der -----BEGIN CERTIFICATE-----Block angezeigt werden, unter Certificate chaindem sich die Nummer befindet 1(er beginnt mit dem Zählen, 0also wäre es der 2. Block). Sie können diesen BEGIN to END CERTIFICATE-Block in eine .crt- oder .cer-Datei kopieren und unter Windows öffnen, um die Details anzuzeigen.
Für diese spezielle Zwischenzertifizierungsstelle in meinem Fall hatte die Stammzertifizierungsstelle bereits vor 4 Jahren eine von sha256 signierte Version desselben Zertifikats erneut ausgestellt, der Serveradministrator hat jedoch die alte sha-1-Version in die Kette aufgenommen. In meinem speziellen Fall werde ich es einfach ignorieren, da ich dieses E-Mail-Konto nicht mehr aktiv verwende und die Administratoren dieses E-Mail-Servers nicht im SSL / TLS-Kontext zu sein scheinen. (Im Jahr 2016 dauerte es zwei Monate, bis sie erkannten, was falsch war und wie das Problem behoben werden konnte, obwohl ich sie ausführlich erklärt hatte, und dann haben sie es immer noch nicht geschafft, es zu 100% richtig zu machen.)