Thunderbird16 ignoriert importiertes Stammzertifikat für SSL

  • Ich betreibe einen eigenen privaten Mailserver (SMTP mit Postfix und IMAP mit Dovecot) und nutze zur Verbindungssicherheit SSL/TLS mit selbstsignierten Zertifikaten. Meine Thunderbird-Clients laufen unter verschiedenen Win-Versionen von XP bis 7 pro. Das Stammzertifikat meiner CA habe ich in Thunderbird importiert und ihm auch das Vertrauen ausgesprochen (alle 3 Häkchen gesetzt). Also sollten alle Zertifikate, die ich herausgebe, akzeptiert werden.


    Das lief bislang auch problemlos. Seit Thunderbird 16 wird aber trotzdem eine Zertifikatswarnung ausgegeben und der User soll eine Sicherheits-Ausnahmeregel hinzufügen:


    Zitat

    Zertifikat-Status
    Diese Website versucht sich mit ungültigen Informationen zu identifizieren.


    Unbekannte Identität


    Dem Zertifikat wird nicht vertraut, weil es nicht von einer bekannten Authorität unter Verwendung einer sicheren Signatur verifiziert wurde.


    Besonders nett ist, dass die Meldung bei Windows-Benutzerkonten mit eingeschränkten Rechten unter XP immer wieder aufpoppt, wenn man die Sicherheits-Ausnahmeregel bestätigt. Man muss Thunderbird über den Taskmanager abschießen. Erst wenn man Thunderbird dann wieder startet, ist das Hinweisfenster weg und die Sicherheits-Ausnahmeregel greift.

  • Hallo silverado,


    und willkommen im Forum! (<= Ja, so viel Zeit nehmen wir uns hier ... .)
    Ja, im Prinzip hst du alles richtig gemacht, und dass es bislang immer funktionierte, bestätigt mir das ja auch.
    Demzufolge darf ich ja auch davon ausgehen, dass der richtige cn im Zertifikat steht.
    (BTW: Ich mache das seit Jahren auch so mit meinem Mail- und FTP-Server ... .)


    Hast du das Server-Zertifikat auch mal bewusst händisch unter "Server" importiert?
    Die "Ausnahme" bedeutet ja nichts anderes, als dass dort automatisch ein Serverzertifikat hinzugefügt werden soll, aber dafür kein Herausgeberzertifikat vorhanden ist. Etwas, was ich gar nicht mag ... .


    Ein Unterschied in der entsprechenden Funktion der beiden TB-Versionen ist mir nicht aufgefallen. Solltest du das ganze wirklich nicht zum Laufen bekommen, empfehle ich dann mal einen Blick in BugZilla.


    BTW:
    Ich hatte auch schon viele Fälle, wo einfach nur die Serverzertifikate abgelaufen waren. Passiert selbst in großen Firmen ... .



    Und als höflicher Mensch verabschiede ich mich auch, deshalb:
    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter und vielen Dank für Deine Antwort.


    Die Zertifikate sind noch alle gültig (sowohl das der CA als auch das Serverzertifikat), CN stimmt natürlich auch.


    Der Fehler tritt eindeutig und reproduzierbar durch das Upgrade auf Thunderbird 16 auf (betreue etliche Rechner, die sich zeitlich versetzt upgegraded haben, daher kann ich den Zusammenhang eindeutig nachvollziehen).


    Mit einem Wechsel auf Thunderbird 10ESR ist wieder alles okay und das importierte Stammzertifikat wird wieder berücksichtigt; Sicherheitsausnahmeregeln waren nicht mehr nötig und konnten gelöscht werden.


    Werde dann wohl mal was bei Bugzilla beitragen müssen.


    Nochmals vielen Dank und viele Grüße
    silverado

  • Diesen Effekt kann ich voll bestätigen !
    Ich verwende inzwischen TB 16.0.1 und ebenfalls selbst signierte Zertifikate, mit einem eigenen (importierten) CA-Zertifikat. Dieses hat auch im TB 15 noch problemlos funktioniert.


    Interessant ist, das die Meldung auch nicht lautet, dass das Zertifikat nicht mit dem Server übereinstimmt, sondern die Meldung kommt:

    Code
    1. Unbekannte Identität
    2. Dem Zertifikat wird nicht vertraut, weil es nicht von einer bekannten Authorität unter Verwendung einer sicheren Signatur verifiziert wurde.


    Was vielleicht noch interessant ist, dass das CA damals noch mit MD5 erstellt wurde (default_md = md5).
    Kann dieses evtl. die Ursache sein ?

  • Hallo niva,


    ich staune, dass da noch jemand md5 benutzt hat ... .
    Um das nachzuvollziehen, werde ich mal per openSSL eine CA aufsetzen, welche md5 verwendet. Wird allerdings erst am Wochenende werden. Ich werde dann berichten.
    Auf jeden Fall könnte das eine Ursache sein, und mich wundert, dass der TB dann noch so lange md5 unterstützt hat.


    Ansonsten kann ich mich nur wiederholen.
    Ich habe seit Erscheinen von TB v.16.x 136 Zertifikate ausgestellt und verteilt. Niemand hat sich beschwert ... .
    Und ob das Zertifikat selbstsigniert ist oder nicht, spielt überhaupt keine Rolle. Die PCA-1-Verwaltung (im Bundesamt für Sicherheit in der Informationstechnik) verwendet zur Signatur der Zertifikate der einzelnen Verwaltungs-PKI auch ein selbstsigniertes Zertifikat. Irgendwo muss schließlich die oberste Instanz angesiedelt sein ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ich habe inzwischen auch noch etwas experimentiert und festgestellt, dass es nicht an MD5 liegt. Die Ursache war ein aufgerufener DNS-Name, welcher nicht im Zertifikat (CN bzw. Subject Alternative Name) hinterlegt war. Das Problem war weg, als ich den fehlenden Namen unter Subject Alternative Name hinterlegt habe.


    Allerdings ist die Meldung "Dem Zertifikat wird nicht vertraut, weil es nicht von einer bekannten Authorität unter Verwendung einer sicheren Signatur verifiziert wurde." etwas verwirrend.


    Übrigens MD5 ist bei der Installation noch ein Überbleibsel einer alten Installation und wird gerade umgestellt...

  • Danke niva,


    ich habe es wegen noch andauernden Besuchs von Verwandten bislang nicht testen können. Nun kann ich es mir sparen :)
    Dass der TB wegen eines fehlenden bzw. falschen DNS-Namen eine Fehlermeldung bringt, betrachte ich eher als Funktionstest der Zertifikatsprüfung. Zugegebenermaßen ist die Fehlermeldung eindeutig falsch. Wird wohl an dem geringen Vorrat der möglichen Fehlermeldungen liegen. (Mal hier: Fehlerberichte und Wünsche nachgesehen oder selbst gemeldet?


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Danke, Graba,


    das wäre ja auch echt ein "Verbrechen", wenn der TB immer noch md5 unterstützen würde. Ich staune, dass das noch bis 15.x so war.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Zitat von "niva"

    ... Die Ursache war ein aufgerufener DNS-Name, welcher nicht im Zertifikat (CN bzw. Subject Alternative Name) hinterlegt war. Das Problem war weg, als ich den fehlenden Namen unter Subject Alternative Name hinterlegt habe...


    Musstest du dazu dann das Stammzertifikat neu erstellen?


    Ich habe das Problem nämlich auch und diese Fehlermeldung wird gezeigt:



    Was ist hier dann falsch?


    Nachtrag: ich habe noch ein bisschen mit einem neuen Profil getestet und tatsächlich, das md5 ist wohl schuld. Wenn ich in der TB config:


    security.enable_md5_signatures = true


    setze, also umschalte vom Standardwert, dann kommt keine obige Fehlermeldung.
    Ich werde also doch eine neue CA machen müssen mit der Einstellung:


    default_md = sha1


    in der openssl.cfg :(