Похоже, что в среду почтовые серверы Google больше не принимают промежуточные сертификаты, подписанные с использованием алгоритма хеширования sha1.
Выполнение команды openssl s_client -connect server.example.com:995 -CAfile cacert.pem -showcertsпоказало мне, что почтовый сервер предоставлял (и продолжает предоставлять) версию промежуточного сертификата sha1.
Я не знаю названия промежуточного ЦС, который отвечает за ваше дело (это 1-е в вашем случае, это было 2-е в моем случае), но я уверен, что вы найдете переизданный сертификат промежуточного ЦС в ЦС Веб-сайт. Запуск openssl s_client …с -showcertsпараметром должен показывать -----BEGIN CERTIFICATE-----блок, под Certificate chainкоторым находится номер 1(он начинает отсчет с 0того, что это будет 2-й блок). Вы можете скопировать этот блок BEGIN to END CERTIFICATE в файл .crt или .cer и открыть его в Windows, чтобы увидеть подробности.
Для этого конкретного промежуточного ЦС в моем случае корневой ЦС уже переиздал подписанную sha256 версию того же сертификата 4 года назад, но администратор сервера включил старую версию sha-1 в цепочку. В моем конкретном случае я просто проигнорирую это, потому что я больше не использую эту почтовую учетную запись, и администраторы этого почтового сервера, кажется, не имеют опыта в контексте SSL / TLS. (В 2016 году им потребовалось 2 месяца, чтобы понять, что не так и как это исправить, хотя я рассказал им все подробно, а затем им все равно не удалось сделать это на 100% правильно.)