TB602: gmx.ivwbox.de:443 ungültiges Sicherheitszertifikat

  • Moin Gemeinde,


    seit einigen Wochen habe ich die im Betreff genannte Fehlermeldung bei GMX-Spam-Info-Mails.
    Ansonsten funktioniert das Senden und Empfangen über die entsprechenden Adressen mit allen möglichen Sicherheitseinstellungen (Extras-Konteneinstellungen) reibungslos.
    Angeblich hat Mozilla wegen dieser oder ähnlicher Sicherheitszertifikats-... ja was weiß ich denn ...-Mängeln FF und TB 6.0.1 'rausgebracht.


    Da ich im Netz keine Lösung gefunden habe dachte ich folgendes:
    Erst Zertifikat aus der Fehlermeldung exportieren und
    dann Zertifikat importeren unter Extras-Einstellungen-Erweitert-Zertifikate-Server
    dann "Vertrauen bearbeiten" von dem Teil und auf "der Echtheit vertauen" setzen.


    Funktioniert gut, ABER:
    Gibt's da irgendwelche Bedenken, die Einstellungen so zu behalten?


    Besten Dank schon mal für Eure Antworten
    Gruß Fuzzy

  • Hallo zusammen,


    ich habe seit heute ebenfalls diese Fehlermeldung in Thunderbird (v6.0.2) unter Win7 HP SP1 x64:
    Sichere Verbindung fehlgeschlagen
    gmx.ivwbox.de:443 verwendet ein ungültiges Zertifikat ...


    Die Fehlermeldung erscheint beim Anklicken der Spam-Reports.


    Der Abruf / Versand erfolgt über folgende Einstellungen:
    pop.gmx.net / Port 995 / SSL/TLS
    mail.gmx.net / Port 465 / SSL/TLS


    Wie ich gesehen habe, hängt dies mit den gehackten Zertifikaten zusammen:
    http://www.heise.de/security/n…/forum-208428/list/hs-16/


    Ich frage mich nur ob es richtig ist diesem Zertifikat dann zu vertrauen bzw. was generell die richtige Vorgehensweise ist.


    Wäre schön, wenn jemand da was zu sagen könnte.


    Muss ich mir über die Sicherheit meines PCs Sorgen machen?


    Schöne Grüße, André

  • Hallo ihr beiden,


    ich denke mal, ihr müsst euch um die Sicherheit eures Rechners keine Sorgen machen.


    Was erreicht ihr mit der SSL-Verschlüsselung der Verbindung zu eurem Mailprovider?

    • Das kleine Stück der Verbindung zw. deinem Client und dem eigenen Provider ist verschlüsselt. Dort, also beim Provider, liegt die Mail wieder unverschlüsselt vor und wie es von deinem Provider weiter zu dem des Empfängers geht und dann letztendlich zum Empfänger selbst, kannst du weder wissen noch beeinflussen. Es ist also maximal das kleine Stück der Verbindung vor Abhören geschützt. BTW: bei einem dt. Provider kann sich "Wolfgang" deine Mail im "Bedarfsfall" problemlos bei diesem "ausleiten" lassen. Er muss also nicht einmal gefakete Zertifikate bzw. Schlüssel bemühen.
    • Wenn ihr dem Zertifikat des Providers vertrauen könnt, dann könnt ihr recht sicher sein, dass die Verbindung wirklich mit eurem Provider aufgebaut ist - und nicht mit irgend jemandem, der sich als dein Provider ausgibt. Das war ja wohl auch der eigentliche Grund, warum im Auftrag eines bestimmten Staates der Zertifikatshersteller "gehackt" wurde. Der genannte Staat wollte sich unerkannt in die Verbindung einklinken. Ich habe oben erklärt, warum das "bei uns nicht notwendig" ist.


    Wenn du sicher sein willst, dass niemand mitliest, dann musst du schon deine Mails "end-to-end" verschlüsseln. Wenn es dich nicht weiter stört, dass jemand mitliest (und das Mitlesen dürfte eigentlich bei der enormen Masse der Mails extrem selten sein), dann musst du dir darüber keine Gedanken machen.


    Ein echtes Sicherheitsproblem kann IMHO wegen eines nicht vertrauenswürdigen Zertifikates für einen Mailserver unter Beachtung des o.g. nicht eintreten. Auch kann durch ein kompromittiertes Herausgeberzertifikat keine "Infektion" eines Rechners erfolgen. Das einzige was eben nicht mehr vorhanden ist, das ist die Sicherheit, dass ein Server oder eine Person der- bzw. diejenige ist, als der er/sie sich ausgibt.
    Wenn die (berechtigte) Fehlermeldung stört, dann schalte die TLS/SS-Verschlüsselung zu deinem Provider einfach ab, und Ruhe ist. Die meisten Menschen wissen eh nicht, worum es dabei geht, und haben diese Verschlüsselung zumeist eh nur zufällig aktiviert.


    Etwas völlig anderes ist es, wenn du mit deinem Browser eine SSL-Verbindung zu deiner Bank oder zu einem Onlineshop aufmachst. Hier solltest du (gerade jetzt) schon mal einen Blick auf das Zertifikat werfen. Wenn der Herausgeber der Zertifkate einer ist, der im Zusammenhang mit den ggw. Problemen genannt wurde, würde ich sehr vorsichtig sein. Aber gerade Banken veröffentlichen wohl immer den Fingerprint ihres Zertifikates irgendwo auf ihrer Seite. Wenn dieser übereinstimmt, kannst du auch sicher sein.


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hi Peter,


    hört sich gut an, was Du schreibst.
    Dummer Weise kommt die "ungültiges Sicherheitszertifikat"-Meldung auch ohne SSL/RSL bzw. STARTTLS.


    Und finde ich es seltsam, dass dieses blöde Zertifikats-Fehlerverhalten nur beim Lesen (nicht beim Abruf/Empfangen) des Spam-Reports auftaucht und nicht beim Empfangen oder Lesen anderer Mails über die selben GMX-Ports.


    Denke mal, ich behalte die von mir gewählte Lösung bei, bis mein PC fremdgesteuert wird und melde mich dann wieder - so es dann noch geht :-) .


    Gruß Fuzzy

  • Hallo,


    ich habe auch dieses Problem. Diese Meldung erscheint NUR beim GMX-Spamreport.
    Nach langem googeln, habe ich keine Lösung gefunden.
    Liegt es nicht nahe, in TB das GMX-Sicherheitszertifikat zu löschen und ein neues zu holen?
    Nur wie, hat da jemand Rat?


    Grüsse Kegel-Hansi

  • Moin Hansi,

    Zitat von "Kegel-Hansi"

    Nur wie, hat da jemand Rat?


    Wie ich schon oben beschrieb ... nun in Einzelschritten:
    1. wenn die Fehlermeldung auftaucht auf Zertifikat ansehen klicken
    2. in neuem PopUp auf den Reiten Details klicken
    3. nun Exportieren zum Speichern wählen
    4. ich habe alle Dateien und den Namen gmx.ivwbox.de.crt ausgewählt
    5. nun alle offenen PopUps schließen
    6. unter Extras -> Einstellungen -> Erweitert -> Zertifikate auf Zertifikate klicken
    7. jetzt unter dem Reiter Server auf Importieren klicken
    8. gmx.ivwbox.de.crt suchen (da, wo Du's gespeichert hast) und öffnen (auf open klicken)
    9. gmx.ivwbox.de.crt auswählen und auf Vertrauen bearbeiten klicken
    10. Der Echtheit dieses Zertifikats vertrauen. auswählen und OK klicken
    11. nun noch zweimal auf OK klicken (also alle offenen PopUps schließen) und FERTIG


    OK?
    Schönen Sonntag noch ... Gruß Fuzzy

  • Hallo Fuzzy,


    herzlichen Dank für die ausführliche Beschreibung.
    Es funktioniert. ;)


    Den Satz von dir oben:
    "Funktioniert gut, ABER:
    Gibt's da irgendwelche Bedenken, die Einstellungen so zu behalten?"


    Dies stelle ich mir auch, ob das der richtige Weg ist.


    Grüsse Kegel-Hansi

  • Zitat

    Dies stelle ich mir auch, ob das der richtige Weg ist.


    Der richtige Weg ist, einem Zertifikatsaussteller das Vertrauen auszusprechen, und dann sind sämtliche von diesem ausgestellte Zertifikate vertrauenswürdig.
    Vertrauenswürdig heißt, wie ich ja schon beschrieben habe, dass die im Zertifikat eingetragene Person oder Firma sicher identifiziert wurde und somit authentisch ist.


    Das Dumme ist nur, wenn der Zertifikatsherausgeber nach einem Einbruch oder aus anderen Gründen selbst nicht mehr als vertrauenswürdig gilt.


    Nun muss dieses aber keinesfalls bedeuten, dass sämtliche zig-Tausende Zertifikate, die ein großer Herausgeber in seiner Tätigkeit jemals signiert hat, automatisch nicht mehr vertrauenswürdig sind. Es wird eher das Gegenteil der Fall sein!


    Jetzt könnte man sagen, dass alle Zertifikate, die (mit Sicherheit) vor dem Tag des Einbruches signiert wurden, als vertrauenswürdig gelten können. Aber ein derartiger Einbrecher kann wohl auch an der Uhr drehen ... .
    Mit Sicherheit kann es das TrustCenter feststellen, denn zu jedem ordentlichen Antrag gibt es eine eindeutige Seriennummer. Aber dazu müsste <user> ja wieder dem TrustCenter vertrauen. Unmittebar nach einem Einbruch???


    Aber es gibt trotzdem eine sichere Methode!
    Wenn ein Serverbetreiber (sagen wir mal in diesem Falle gmx) lange vor dem Einbruch eine Schlüsseldatei (Zertifikat + private key) von einem TrustCenter gekauft hat, dann hat dieser Serverbetreiber auch den nicht mehr änderbaren Fingerprint des Zertifikates. Wenn dieser Serverbetreiber dann diesen Fingerprint deutlich sichtbar an exponierter Stelle auf seiner offiziellen Webseite veröffentlicht, dann kann jeder User diesen mit dem des bei ihm gespeicherten Zertifikates vergleichen.


    Und dann kann man ohne Bedenken dieses Zertifikat wie beschrieben als vertrauenswürdig definieren.


    OK?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!