Thunderbird waehlt falsches Zertifikat

  • Hallo!


    Ich hab mit meinem Thunderbird 1.5.0.9 unter Ubuntu folgendes Problem:
    Ich hab 2 Konten bei denen per ssl-verbindung zum entsprechenden imapserver verbunden werden soll. Und fuer beide Server habe ich ein Zertifikat Client, Unterschrift, Verschluesselung, aufgefuehrt unter Zertifikat-Manager -> Ihre Zertifikate.
    Problem ist nun:
    Wenn ich die Standardkonfiguration benutzte (security.default_personal_cert = "Select Automatically") kommt beim Verbinden zu einem von beiden die Fehlermeldung: Fehler beim Aufbau einer verschluesselten Verbindung zu imap.bla.com. Fehler-Code: -12195. Verbindung zum anderen Server geht wunderbar.


    Nun habe ich mal testhalber security.default_personal_cert auf "Ask Every Time" gesetzt und dann kommt wie erwarten beim Versuch des Verbindens zu dem Server wo's vorher nicht ging das Fenster, wo man das richtige Zerfitikat auswaehlen soll. Dann klappt das auch mit der Verbindung. Allerdings ist das sehr nervig wenn man jedesmal da auswaehlen muss. Das muss doch auch irgendwie einfacher gehen. Kann Thunderbird sich nicht merken welches Zertifikat zu welchem Server gehoert?


    Schonmal vielen Dank fuer eure Antworten.
    Gruss,
    Knoedl

  • Hi Knoedl,


    und willkommen im Forum.
    Ich befürchte, du haust hier etwas durcheinander.


    Für die ssl (oder TLS-) Verschlüsselung der Verbindung zwischen deinem eigenen Mailclient und dem Server des Providers musst du keine eigenen Zertifikate besitzen bzw. installieren. Hier sollte lediglich der Provider seinen eigenen Schlüssel bei einem registrierten Trustcenter zertifiziert haben. Und dessen Herausgeberzertifikate müssen im Zertifikatsspeicher des TB hinterlegt sein. Dies ist auch für so ziemlich alle gängigen Herausgeber der Fall.
    Du selbst musst nur tätig werden, wenn du entweder einen total kuriosen Provider hast oder einen eigenen Mailserver mit einem selbstgebauten Zertifikat betreibst. (Das glaube ich eher nicht, denn sonst würdest du diese Frage nicht stellen ... .) Dann musst du, wie schon geschrieben, das Herausgeberzertifikat beschaffen und nachträglich installieren. Aber dann solltest du lieber SSL/TLS deaktivieren ... .


    Ein eigenes Schlüsselpaar (.p12 oder .pfx, fälschlicherweise oft "Zertifikat" genannt) benötigst du nur, wenn du selbst Mails mit s/mime ver- und entschlüsseln und/oder signieren willst. Dann benötigst du aber auch von deinen jeweiligen Mailpartnern deren öffentlichen Schlüssel.


    Solltest du darüber Informationen haben wollen, dann lass es mich wissen (PN mit Mailadresse).


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo!


    Erstmal danke fuer deine Antwort. Es ist gut moeglich, dass ich da etwas durcheinander bringe, kenne mich mit den ganzen Sachen noch nicht so gut aus. Vielleicht hab ich es aber auch falsch dargestellt.
    Der eine Server von dem ich gesprochen habe, bei dem es nicht geht, ist der mailserver meines Arbeitgebers. Zu diesem ist die einzig moegliche Verbindung ueber SSL. Es ist allerdings zusaetzlich noch ein Zertifikat erforderlich, dass ich von meinem Arbeitgeber erhalten habe. Dieses habe ich installiert.
    Fuer den zweiten Server kann die Verbindung auch nur ueber ssl geschehen. Allerdings erfordert es, wie du ja gesagt hast, keines weiteren Zertifikates. Allerdings hat der Betreiber des Servers ein "Zertifikat" (bzw. wie du sagst ein Schluesselpaar .p12/.pfx) ausgestellt mit dem ich Nachrichten signieren und verschluesseln kann.


    Wenn ich jetzt immernoch was durcheinander bringe, dann bitte ich um weitere aufklaerung :)
    Hab ich diese beiden Sachen falsch installiert?
    Danke fuer weitere Hilfe!


    MfG Knoedl

  • Nun, du hast mir eigentlich alles genau bestätigt, was ich so vermutet habe.


    Du solltest zuerst die Verantwortlichen für die beiden Server fragen, was sie für Zertifikate für die SSL-Verschlüsselung benutzen.Frage sie ruhig nach den root-Zertifikaten der Herausgeber und nach den beiden Server-Zertifikaten. Es kann maximal "passieren", dass selbige bei dir schon importiert wurden bzw. von Hause aus drin sind. Sind es importierte, gehe auf Bearbeiten und stelle das Vertrauen ein (eine häufige Ursache für Fehlfunktionen bei nachträglich importierten Zertifikaten, die nicht aus "offiziellen Quellen" stammen. Bei den etablierten Herausgebern hat dir der Hersteller des Browsers/Mailprogrammes die Verantwortung abgenommen, bei "hausgemachten" Zertifikaten musst du bewusst entscheiden, ob du dem Zertifikat vertraust - und das ist auch gut so!)
    Wenn du diese Zertifikate bei dir nachweisen kannst (also max. 2 je Server), dann müsste die SSL-Verbindung beim Abrufen schon stehen. Den richtigen Port hast du ja schon eingestellt ... .
    Bei den o.g. Zertifikaten handelt es sich übrigens um den öffentlichen Schlüssel - und den kann dir der Administrator beruhigt geben.


    Die Mailverschlüsselung ist von der SSL/TLS-Verschlüsselung völlig unabhängig. Du installierst deinen geheimen Schlüssel nach "eigene ...". Kannst auch bei mehreren Mailadressen mehrere besitzen und installieren. Wichtig ist, dass du dem jeweiligen Mailkonto auch den richtigen Schlüssel zuordnest. Das Programm muss ja wissen, bei welchem Konto du welchen Schlüssel benutzen musst. Das stellt du in den Konteneinstellungen unter S/MIME-Sicherheit ein.


    Falsch machen kannst du eigentlich nichts. Das SSL-Zertifikat funktioniert nur bei SSL und dem jeweiligen Server und das Mailzertifikat nur zum Mailen - vorausgesetzt der Herausgeber der Zertifikate versteht sein Handwerk. In den Zertifikaten ist der Besitzer (cn= ...) und der Verwendungszweck hinterlegt. Du kannst dir das ja auch ansehen.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ich denke sein Problem ist dass Thunderbird bereits beim Vorhandensein eines Zertifikats nur zum Unterschreiben von Nachrichten irgendwas durcheinanderbringt.


    Ich kämpfe momentan ebenfalls mit dem Problem, die einzige Lösung bis jetzt ist alle Nutzerzertifikate zu löschen.


    Was mir auch auffiel:
    Es gibt eine Option security.default_personal_cert die damit zusammenzuhängen scheint. Manche schlagen vor "Select Automatically" einzustellen, doch das würde vermutlich bei mir nicht klappen: Ich habe zwei verschiedene Accounts, er wählt aber bei einem der beiden den falschen aus.
    Per default steht diese Option auf "Ask me everytime", allein- das tut er leider auch immer: darunter ist eine Checkbox mit "Diese Auswahl merken (oder so)", doch es scheint keine Auswirkung zu haben. Nervt.
    Ich habe auch "true" und "false" probiert, beides bringt nichts.


    Mir scheint dieser Fehler tritt nur bei Leuten auf die Zertifikate nutzen- und entweder macht das kaum einer oder diejenigen kennen sich alle so gut aus dass sie die Lösung selber sofort finden.