Probleme mit SSL / Error -12195 / Zertifikatsproblem

  • Mit einem Mailkonto habe ich das Problem, dass das Abholen von Mails über die SSL-Verbindung (Port 995) nicht funktioniert und ich statt dessen folgende Fehlermeldung erhalte:


    Code
    1. Fehler beim Aufbau einer verschlüsselten Verbindung zu... . Fehler-Code: -12195.


    Die Abholung der Mails ohne SSL funktioniert hingegen tadellos. Das kuriose an der Sache ist, dass ich zahlreiche Accounts mit Thunderbird verwalte und das Problem bei keinem anderen Account auftritt. Erstelle ich den selben Account mit einer zweiten Thunderbird-Version, gibt es ebenfalls keine Probleme. Daher hab ich den Account komplett gelöscht inkl. des dazugehörigen Ordners im profile/mail-Verzeichnis und nach einem Neustart nochmals neu angelegt. Doch das Problem bleibt.

  • Ich konnte nun endlich nach mühevoller Suche das Problem ausfindig machen:


    Das Problem tritt immer dann auf, wenn sich in meinem Zertifikatsmanager Zertifikate befinden. Wenn sich unter "Ihre Zertifikate" keine Eintragungen befinden, tritt der Fehler nicht auf. Dabei spielt es keine Rolle ob das Zertifikat nun von diesem Mail-Account verwendet wird oder nicht.


    Ich hab eine Portable-Version von TB ganz jungfräulich eingerichtet mit nur diesem einen Account und das Problem dort ebenfalls einwandfrei nachvollziehen können.


    D.h. im Klartext: Entweder keine Zertifikate oder keine SSL-Abholung von Mails. Gibt es dafür eine Lösung?


    P.S.: Da das Problem nun eingegrenzt werden konnte, kann es eigentlich auch gerne in den Bereich "Verschlüsselung & digitale Unterschrift" verschoben werden.

    Einmal editiert, zuletzt von Ferrum ()

  • Hallo,


    benutzt du die aktuelle Thunderbirdversion? Falls nein, ändert ein Upgrade etwas an deinem Problem?
    Deine Fehlermeldung bedeutet laut dieser Quelle:

    Zitat

    "Peer does not recognize and trust the CA that issued your certificate."


    Auf der Mailingliste für Mozilla Seamonkey tauchte dein Problem auch auf, dort wird als Ursache folgendes aufgeführt:

    Zitat

    The bottom line: Your POP3 server is apparently misconfigured.
    If it only accepts certificates from certain specific issuers (as is commonly the case), then it should be configured to send out the list of acceptable issuers to your client. If your client receives such a list as part of the certificate request, your client will only send a certificate if it comes from one of those named issuers, and will not send a certificate if it has none from any of those named issuers.
    So, your POP3 server should be reconfigured to send out a list of the issuers whose certs it accepts. Then all will be well for you.


    Dort steht auch noch ein bischen mehr, lies dir das am besten ganz durch. Eine Lösung gibt es dort allerdings auch nicht, aber vielleicht hilft dir das bei der Suche danach ja weiter.
    Karla

  • Danke dir. Das traurige an der Sache ist ja, dass ich in den Konteneinstellungen noch nicht einmal ein Zertifikat zugewiesen hab. Es reicht die blosse Anwesenheit eines x-beliebigen Zertifikats in der Liste. Alle anderen Accounts stören sich ja ebenfalls nicht daran. :(

  • Hi Ferrum,


    ein interessantes Problem, welches wir hier noch nicht hatten.
    Fakt ist, dass ich sowohl alle meine 8 Konten mit TLS oder SSL bediene, als auch zu allen verwendeten Mailadressen je ein X.509-Zertifikat importiert habe. Die meisten als Softtoken, und eines als pkc#11 (Chipkarte).
    Ja, und noch nie ein Problem damit gehabt.


    Hast du schon mal versucht, die beiden Zertifikatsdateien (cert8.db und key3.db) zu löschen?


    Ich würde mich freuen, wenn du uns weitere Informationen zukommen lässt.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "Peter_Lehmann"

    ...und noch nie ein Problem damit gehabt.


    Für Probleme gibt's ja auch mich. ;)


    Zitat von "Peter_Lehmann"

    Hast du schon mal versucht, die beiden Zertifikatsdateien (cert8.db und key3.db) zu löschen?


    Im Laufe der stundenlangen Fehlersuche, war genau dieser Austausch der cert8.db gegen eine original Version der ausschlaggebende Punkt den Fehler deutlich eingrenzen zu können, weswegen man dann die o.g. Ursache erstmal herausfinden konnte.


    Die wirklich sehr informativen und hilfreichen Links von Karla (vielen Dank dafür nochmals) konnten dies endlich bestätigen. Weiterhin bin ich parallel hierzu mit dem recht hilfreichen Mailprovider im ständigen Kontakt und habe ihm die Lage geschildert. Wenn ich Rückmeldung über konkretere Informationen habe, gebe ich hier selbstverständlich bescheid.

  • Das Feedback war leider weniger erfreulich bisher:

    Zitat

    As far as I can see in the IMAP implementation we are using, we can't turn off the ability to use a personal certificate.


    What I have found however is that the Thunderbird setting 'security.default_personal_cert' dictates which certificate to use. It's set by default to 'Select Automatically'. If you change this to any other string ('Ask Every Time'), it will prompt you for which personal security certificate to use. If you click 'Cancel' on that dialog, it will log in successfully using SSL.


    I've as yet not been able to find a Thunderbird setting to make a personal cert selection per account, or how to ignore personal cert's for an account.


    Dieses Workaround ist natürlich keine befriedigende Lösung. Wer will schon bei jeder automatischen Postabholung mit einem Popup genervt werden?

  • Nachdem der Mailprovider keine Ambitionen machte daran noch etwas zu ändern und ausserdem weitere Unannehmlichkeiten auftraten wie z.B. Lieferverzögerungen von Mails (z.T. bis zu über 5 Stunden), hab ich mich dazu entschlossen Abstand von diesem zu nehmen. Allerdings musste ich festellen dass dieses Problem kein Einzelfall ist und vorwiegend bei nicht allzuweit verbreiteten Mailprovidern auftritt. Bei grossen Global Playern wie GMX, Web.de, Freenet und wie sie alle heissen, konnte ich das Problem nicht feststellen. Aber das liegt natürlich auch etwas in der Natur der Sache.

  • Also, ich habe ebenfalls Probleme mit meinem Zertifikat. Der Witz ist, solange es nicht installiert ist klappt alles reibungslos. Sobald ich aber Zertifikate zum unterschreiben und/oder verschlüsseln von Nachrichten installiere fragt mich Yahoo! nach einem Zertifikat. Ich kann zwar aus einer Liste das richtige (? soll doch nur für Nachrichten gelten?) aussuchen und es scheint zu funktionieren, nur leider merkt er sich trotz gesetztem Häkchen diese Auswahl nicht. Beziehungsweise, ich habe mehrere Konten bei Yahoo! und ebenso mehrere Zertifikate, aber Thunderbird kann sich anscheinend nur eins merken. Rufe ich in der Sitzung erneut meine Nachrichten ab fragt Thunderbird tatsächlich nicht mehr nach, aber dafür kommt der Fehler -12195.


    Lösche ich alle Zertifikate ist wieder Ruhe, allerdings klappt signieren dann nur mit Enigmail. Was nicht schlimm ist, aber ich würde gerne S/MIME mal testen.


    Ach ja:
    Thunderbird sowie sämtliche Add-Ons sind auf dem neuesten Stand, ebenso die Zertifikate. Root-Zertifikate sind ebenfalls installiert.

  • Hallo,


    vielleicht hilft es jemanden. Ich hatte auch das Freenet-Zertifikatsproblem. Am Ende lag es an einer Kontoeinstellung.
    Der POP Eingangsserver muß auf mx.freenet.de stehen und nicht auf pop3...
    und SSL aktiv gesetzt (Port 995). Prüft das mal.


    Ausgangsserver steht auch auf mx.freenet.de mit SSL (Port 465)


    Tschau
    Mr. Teflon