Korrekt importiertes Zertifikat blockiert SSL; Fehler -12195

Am 24.09.2018, werden in der Zeit zwischen 21:00 Uhr und 09:00 Uhr des folgenden Tages Wartungsarbeiten am Server durchgeführt. Daher wird die Webseite in dieser Zeit nur eingeschränkt erreichbar sein.
  • Hallo,
    gestern habe ich meinen Posteingang mit SSL vom Mail-Provider erfolgreich eingerichtet. Empfang und Senden von e-Mail lief problemlos.


    Heute installiere ich mein X.509 Zertifikat zum e-Mail Signieren vom Trustcenter, und nun kommt beim Abrufen der e-Mail die Fehlermeldung -12195. Zum Herunterladen der e-Mail muss ich nun die SSL-Verbindung ausschalten und auf Port 110 unverschlüsselt arbeiten, was ich nicht gerne tue.


    Die Zertifikatskette zu meinem e-Signatur-Zertifikat und zum Server-Zertifikat des Providers sind vollständig und korrekt getrustet. Dies habe ich sehr sorgfältig geprüft. Ich kann mir deshalb diesen Fehler nicht erklären.


    Wenn ich das Zertifikat wieder lösche, funktioniert das Abrufen der e-Mail über SSL wieder normal. Hieraus schließe ich, das im Thunderbird möglicherweise etwas schiefläuft.


    Folgende Thunderbird-Version verwende ich: 2.0.0.9 (20071031) unter WinXP SP2


    Bitte helfen Sie mir, dieses Problem zu lösen, damit bei mir beides, sowohl die sichere Verbindung zum Provider, als auch e-Mail Signatur erfolgreich funktioniert.


    Einen schönen Gruß in die Runde ...


    mpk


    http://www.ayevoice.com

  • Hi mpk,


    und willkommen im Forum.
    Zuerst einmal: die Verschlüsselung des Traffics zum Mailserver mit TLS/SSL und die Mailverschlüsselung sind zwei Prozesse, die miteinander nicht viel zu tun haben (außer, dass sie auf gleichen Prinzipien funktionieren).
    Ich kann auch leider das bestehende Problem nicht nachvollziehen, oder konkreter: das hatte ich noch nicht. Bei mir wird konsequent S/MIME genutzt, und wo möglich nutze ich auch TLS/SSL.
    Die Fehlermeldung sagt mir auch nichts, bringt sie wirklich der Thunderbird oder der Server?


    Wenn TLS/SSL deaktiviert wird, funktionieren also Mailverschlüsselung und Signatur problemlos? Auch mit Mails an den eigenen Absender getestet?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    vielen Dank für deinen schnellen Reply.


    Ja. die Verschlüsselung und Mailsignatur funktionieren problemlos, wenn ich eine entsprechende Testmail an mich selbst sende. Die Nachricht wird korrekt entschlüsselt und die Signatur als korrekt bestätigt.


    Nur wenn ich SSL aktiviere kommt es beim Download der e-Mail (Abrufen) zum Fehler.


    Nach Löschen des Zertifikats funktioniert SSL wieder normal.


    Paul

  • Zur Ergänzung:
    Irgentwo im Netz habe ich etwas zur Fehlernummer gefunden:


    SSL_ERROR_UNKNOWN_CA_ALERT -12195 "Peer does not recognize and trust the CA that issued your certificate.


    Vielleicht hilft uns das noch weiter.

  • Unter diesem Link habe ich einen Screenshot zur Fehlermeldung hinterlegt:
    <screenshot gelöscht>


    Die MessageBox ist modal zu Thunderbird, d.h. man kann nichts im Thunderbird anklicken solange sie geoffnet ist. Ich nehme an, dass diese MessageBox von Thunderbird geöffnet wurde.

    Einmal editiert, zuletzt von mpk ()

  • Ja, wie gesagt, den hatte ich trotz vieler Jahre Nutzung von S/MIME und TLS/SSL noch nicht ... .


    Die Fehlermeldung sagt ja, dass da die CA nicht anerkannt wird. Ich vermute mal, dass diese Meldung vom Server kommt. Vielleicht kannst du mal was zu den Zertifikaten (X.509, also eMail-Z.) sagen. Es ist zwar ungewöhnlich, dass sich der Server für den Inhalt des Contents, also der .p7m/.p7s-Datei interessiert, aber wer weiß.
    Also, wenn möglich, wer ist dein Mailprovider und woher hast du das Zertifikat. Ist es ein Kostnix-Zertifikat vom TC-Trustcenter oder Thawte oder so was ähnliches, kann es schon dazu führen. Ich weiß nur einfach nicht warum ... .
    Kannst du nicht einfach mal einen anderen smtp einstellen? Es gibt doch genug ... .


    Noch mal zu TLS/SSL:
    Wenn ich möchte, dass "niemand" meine Mails lesen kann, dann muss ich eine end-to-end-Verschlüsselung wählen. ("Niemand" habe ich mit Absicht in "" gesetzt, denn nach einem Hausbesuch von W's. Leuten zählt das ja alles nicht mehr ... .)
    Ich nutze zwar auch bei allen meinen Konten TLS oder SSL, bin mir aber selbstverständlich bewusst, dass ich damit nur mein Ende der "letzten Meile" schütze. Was beim und nach dem Provider passiert, darauf habe ich keinen Einfluss. Und wie der Empfänger die Mails abholt, weiß ich ja so wie so nicht. Im Endeffekt schütze ich eigentlich nur meine Mailpasswörter ... . Und vor wem? Maximal noch vor einem neugierigen Admin oder Mitbewohner, wenn ich aus der Firma maile oder in einer Wohngemeinschaft wohnen würde.
    Also in deinem Fall würde mir S/MIME vor TLS/SSL gehen - insofern es meine Mailpartner auch nutzen. Aber wenn nicht, dann nützt ihnen die Signatur auch nichts und führt nur zur Verwirrung.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,
    vielen Dank für Ihre Ausführungen.


    Wenn dieser Fehler weithin unbekannt ist, und anderswo SSL mit installierten Benutzerzertifikaten läuft, dann kann ich wohl zu keinem anderen Schluss kommen, dass das kein Thunderbird-Problem ist.


    Mein Level 2-Schlüssel ist übrigens nicht von einer "Kostnix"-CA zertifiziert worden, wie Sie meiner Website http://www.ayevoice.com entnehmen können, Daran kann es aus meiner Sicht nicht liegen.


    Die Sache mit der End-To-End-Verschlüsselung ist die beste Lösung, hier teile ich deine Meinung vollständig.


    Der Provider verwendet allerdings Premium Server Zertifikate der Fa. Thawte. Als nächstes werde ich mich deshalb an meinen Provider wenden, um die Problemlösung weiterzutreiben.


    Wenn ich auf Geschäftsreise oder im Urlaub e-Mail in Umgebungen mit unterschiedlichen Sicherheitslevels abrufe, die mir in der Regel unverschlüsselt zugesandt werden, dann möchte ich bis zum europäischen Provider wenigstens verschlüsselt arbeiten. Derzeit gelingt mir das über den HTTPS Webmail-Zugang, dies ist allerdings wesentlich umständlicher als die Bedienung im Thunderbird.


    Es sollte mit gelingen, dies auch mittelfristig mit POP3 und SSL mit sicherer Authentifizierung mit dem schlanken und sympatischen Thunderbird erfolgreich zu realisieren.


    Vielen Dank!


    MfG Paul

  • Hi Paul,


    ich sehe, wie haben die gleichen Anschauungen ... .
    Wenn es sich also um ein ordentliches fortgeschrittenes Zertifikat handelt, dürfte die von mir angedachte Ursache wohl entfallen.


    Was ich erst jetzt bemerkt habe, war dein Satz "...Nach Löschen des Zertifikats funktioniert SSL wieder normal....". Das heißt also, nicht allein die Verwendung der Signatur und/oder der Verschlüsselung bringt den Fehler, sondern bereits die Installation des Zertifikates. Das ist sehr seltsam!


    Ich habe bei mir mehrere Nutzerzertifikate (richtiger: eigene Z.) installiert. Dabei eine ganze Reihe selbst erstellter aus meiner kleinen "Privat-CA", ein gekauftes fortgeschrittenes Zertifikat als Softwaretoken und auch eines auf Chipkarte, also echtes pkcs#12. Und natürlich fast 100 Zertifikate meiner Mailpartner. Und keine Probleme ... .


    Ich denke drüber nach ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!