Zertifikat-Fehler beim Abrufen / Senden von E-mails

  • Thunderbird-Version: 17.0.2
    Betriebssystem + Version: Linux - Ubuntu 12.04
    Kontenart (POP / IMAP): IMAP
    Postfachanbieter (z.B. GMX): web.de


    Hallo,


    ich habe seit einigen Tagen ein Problem beim Abrufen sowie Senden von mails und hoffe auf ein paar Ideen oder Tipps, um eine Lösung zu finden.


    Beim Anmelden am web.de Server spuckt TB einen Zertifikat-Fehler aus und möchte, dass ich eine Ausnahmeregelung treffe. Ohne dies zu tun, verbindet sich TB nicht mit dem Server von web.de. Die web-Oberfläche von web.de funktioniert einwandfrei. Der Fehler kommt seit 4 Tagen nahezu immer beim Starten von TB.


    Ein mail Abruf ohne eine Bestätigung der Ausnahmeregel ist in den allermeisten Fällen (aber nicht immer) nicht möglich. Das Problem besteht auch beim abgesicherten Starten von TB ohne Addons. Änderungen in der Konfiguration von TB habe ich seit Bestehen des Problems nicht durchgeführt.
    Das Ganze sieht dann wie hier zusehen aus.


    Danke für Eure Hilfe und Ideen. Markus

  • Hallo Markusm12,


    Gleich zu Beginn:
    Ich habe kein Konto bei web.de, will auch keines haben, und kann mir das betreffende Zertifikat auch nicht selbst ansehen. Und da du keine Einzelheiten gepostet hast, kann ich mit deinen Angaben auch nicht allzu viel anfangen. Ein möglicher, für mich so nicht sichtbarer, Grund kann zum Beispiel die Verwendung von md5 für das Hashing sein. Ein Verfahren, was schon lange nicht mehr als sicher betrachtet wird, und was der Thunderbird nun endlich nicht mehr akzeptiert. => in den Eigenschaften des Zertifikates nachsehen! Es muss da zumindest "sha1" stehen.
    Ich sehe nur, dass dieses Serverzertifikat noch innerhalb seines Gültigkeitsbereiches ist und für den richtigen Server ausgestellt wurde.


    Allerdings finde ich den Herausgeber des Zertifikates (also das betreffende TrustCenter) weder im Firefox, noch im Thunderbird noch in Cleopatra als vorinstalliert. Zumindest sagt mir das, dass dieses TC kein etabliertes TrustCenter ist. Wir nennen so etwas "Billigheimer" ... .


    Dann habe ich mal den Namen dieses TrustCenters in die Suchmaschine meiner Wahl eingehackt. => Schau selber nach ... .
    Gleich der erste Eintrag spricht nicht gerade für "grenzenloses Vertrauen". Jetzt verstehe ich auch, warum zumindest Fx und TB openSUSE diesen Herausgeber nicht vorinstalliert (oder wieder entfernt?) haben.


    Zumindest sagen mir die gefundenen Stellen, dass es sich wirklich um einen Herausgeber von Zertifikaten handelt, und nicht etwa um einen Piraten. Die Verschlüsselung des Stückchens der Verbindung zwischen deinem Client und dem Server von web.de wird funktionieren.


    Ich möchte meine persönliche Wertung über einen Provider, welcher nicht das Geld für Serverzertifikate von einem vertrauenswürdigen etablierten Herausgeber aufbringen kann/will, hier nicht posten.
    Andererseits, woher sollte er auch das Geld haben, wenn die meisten "Kunden" für ihr E-Mailkonto nichts bezahlen wollen.


    Lösung für dein Problem:
    1.) Deinem Provider mal ein paar klare Fragen stellen.
    2.) Überlegen, ob du wirklich die Verschlüsselung der "letzten Meile" zw. deinem eigenen Rechner und dem Mailserver benötigst.
    3.) Und je nach Ergebnis dieser Überlegung entweder auf die Verschlüsselung gänzlich verzichten (=> KEINE) oder die Krückenlösung mit der Ausnahmegenehmigung wählen.



    Zitat

    Die web-Oberfläche von web.de funktioniert einwandfrei.


    Das, was du damit meinst, nennt sich "Webmail" <grusel> und hat nun überhaupt nichts mit der Verwaltung einem Mailkontos mit einem Mailclient zu tun.


    BTW: Deine Rechneruhr geht aber korrekt? Ich frage ja nur ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter und danke für die ausführliche Erklärung,


    in der wagen Hoffnung, noch etwas Klarheit für mich zu erreichen, ein paar Entgegnungen (im positivem Sinne ;) ) zu deinem Post:
    Ich habe das Zertifikat mal exportiert und an gehangen , Bilder zum Aussteller/Inhaber sind beigefügt. Als Algorithmus wird sha1 angegeben, System-Uhrzeit (Lokalzeit) stimmt.
    Heute konnte ich TB einige male ohne entsprechende Fehlermeldung starten und alles lief einwandfrei. Nach einem Neustart von TB nur Sekunden später wieder eine Meldung über falsche Zertifikate.
    Sofern der Internet-Provider eine Rolle spielt: Ich bin derzeit im Ausland und nutze einen lokalen UMTS Provider.


    Am Rande gesprochen:
    Einzelne Sachen wickle ich mit Gnupg ab, aber aufgrund dessen winzigen Teilnehmerkreises längst nicht alles. Ich empfinde daher die Verschlüsselung zwischen Empfänger und Server schon als kleinen Baustein der E-mail Absicherung (offen gesprochen fällt mir auch keine weiterer mehr ein). Dass ein kostenloser Anbieter per se schlechter ist, sehe ich aber nicht so - allein schon, weil ich zu hause nie Probleme mit den web.de Zertifikaten hatte.
    Aus deinem Post deute ich aber, dass du einen anderen Weg gehst. Wie sicherst du denn deinen mail-Verkehr ab?


    Gruß Markus

  • Hi Markus,


    die allgemeinen "Verdächtigen" (Verwendung von md5 und eine falsche Rechnerzeit) fallen also aus.
    Das von web.de favorisierte TrustCenter ist immerhin eines und kein Pirat und damit auch ok.


    Die wirklich saubere Lösung wäre jetzt, dass du dir von diesem TrustCenter die Herausgeberzertifikate besorgst und händisch installierst. Ein seriöses TC bietet sämtliche Herausgeberzertifikate von jedermann schnell zu finden auf seiner Webseite an. Einschließlich der Hashwerte, so dass du auch überprüfen kannst, ob es die richtigen sind. Und eigentlich sollte man auch immer diesen Weg mit dem manuellen Import wählen (von der Webseite laden, Hashwert prüfen, sich persönlich von der Seriosität des Anbieters anhand der veröffentlichten Policy und sonstigen Informationen - Suchmaschine befragen ... - überzeugen, importieren und bewusst das Vertrauen in diesen Anbieter aussprechen).
    Nur, das ist natürlich für ONU absolut nicht zumutbar. Deshalb übernehmen die Hersteller der Browser, Mailclients und Betriebssysteme diese Aufgabe. Ob das immer mit der dazu nötigen Umsicht geschieht, oder ob da Geld im Spiel ist, will ich lieber nicht untersuchen.


    Dieser manuelle Import und das bewusste Aussprechen des Vertrauens ist also der einzig richtige Weg. Die angebotene Ausnahmeregel bringt zwar das gleiche Ergebnis, ist aber IMHO kein sauberer Weg. Ich gehe ihn grundsätzlich nicht.


    "Markusm12" schrieb:

    Sofern der Internet-Provider eine Rolle spielt: Ich bin derzeit im Ausland und nutze einen lokalen UMTS Provider.


    Der Provider spielt dabei keine Rolle.
    Auch ich bin (werk-)tagsüber per UMTS zugange und erst abends per DSL. Und ich bin auch jedes Jahr 4 Wochen bei unserem nördlichen Nachbarn und nutze da (neben dem dort üblichen 100Mbit/s FTTH-Zugang) UMTS. Alles kein Problem.
    Einzige Ausnahme: Solltest du in einer anderen Zeitzohne sein ... .


    Zitat

    Einzelne Sachen wickle ich mit Gnupg ab,


    Das finde ich schon recht gut! (Auch wenn ich persönlich seit gut 10 Jahren von GnuPG wieder weg bin und ausschließlich S/MIME nutze. DASS wir unsere Privatsphäre schützen ist wichtig, und weniger womit.)


    Zitat

    Ich empfinde daher die Verschlüsselung zwischen Empfänger und Server schon als kleinen Baustein der E-mail Absicherung ...


    Auch das ist richtig.
    Nur muss man eben wissen, dass damit nur das kleinste Stück der Verbindung geschützt ist (ja, einige User wissen das nicht, und gehen von einem wirklichen Schutz ihrer Mails aus!). Das einzigste, was wirklich geschützt wird, sind die Zugangsdaten bei deinem Provider, also Benutzername und Passwort.
    Aber, und da gebe ich dir vollkommen Recht, selbst ein kleiner Schutz ist viel besser als gar keiner. Auch ich nutze, wo es eben möglich ist, diese Verschlüsselung.
    Aber wenn oder wo es eben nicht möglich ist, da "krampfe" ich auch nicht. Aber ich denke mal, du kannst dieses Problem so wie oben beschrieben lösen.


    Zitat

    Dass ein kostenloser Anbieter per se schlechter ist, sehe ich aber nicht so .....


    Ich glaube, da ist dir wohl was "in den falschen Hals" gekommen.
    Wenn ich wirklich Leistung haben will (100 echte Postfächer mit einem Quota, welches ich wohl nie auslasten werde, IMAP, werbefrei, bestimmte Servicelevel, uvam.), dann bezahle ich wirklich gern dafür. Geben und nehmen ... .
    Unabhängig davon habe ich noch ein paar Accounts bei Kostnix-Anbietern. Hier nehme ich bewusst das kleinere Postfach, nur POP3, Werbung usw. in Kauf. Das hat absolut nichts mit "schlecht" zu tun! Wenn ich im Ausland bin, habe ich eben mit einem dort inländischen Provider keinerlei Probleme, beim Senden meiner Mails. Bei der Nutzung eines dt. (oder dann eben ausländischen) Providers schon.
    Ich wollte mit meiner Bemerkung lediglich ausdrücken, dass ein qualitätiv hochwertiges Zertifikat (zum Bsp. von einem nach dem unwahrscheinlich strengen dt. Signaturgesetz arbeitenden TrustCenter) wirklich sehr teuer ist. Dafür gibt es auch sehr gute Gründe, denn der Aufwand für die organisatorische und technische Absicherung eines derartigen TC ist wirklich sehr hoch.
    Und wenn sich ein etablierter dt. Provider eben auf das preisgünstigste Angebot einlässt ... . Ja, das hat für den Provider auch was damit zu tun, dass er eben finanziell auch einen ganzen Batzen zahlungsunwilliger Kostnixkunden durchschleppen muss. Wieder geben und nehmen ... .
    (Und jetzt bitte nicht wegen des "zahlungsunwilligen Kostnixkunden" beleidigt sein. Auch im Internet werden wir uns daran gewöhnen müssen, dass es bald nichts mehr kostenlos gibt.)


    Zitat

    Aus deinem Post deute ich aber, dass du einen anderen Weg gehst. Wie sicherst du denn deinen mail-Verkehr ab?


    Auch wenn in meinem Mails absolut nichts steht, dessen ich mich schämen müsste oder was gar gegen Gesetze verstößt, so verschlüssele ich so ziemlich alle meine Mails. Begonnen vor gut 20 Jahren mit PGP 2.0.6(?) für DOS bis irgendwann einmal 5.? für die WinDOSe. Vor etwa 10 Jahren harter Umstieg zu Linux und gleichzeitig zu S/MIME. Mit viel Überzeugungsarbeit (*) habe ich alle meine Freunde, Verwandten usw. dazu gebracht, diesen Weg mitzugehen. Heute stellt meine gar nicht mehr so kleine "Privat-CA" jährlich um die 500 Schlüsselpaare für einen fast ebenso großen Nutzerkreis aus. Noch dürfen wir unsere kleinen privaten "Geheimnisse" durch Verschlüsselung schützen.
    (*) Dabei hat mir sicherlich ungewollt eine bekannte Persönlichkeit geholfen, welche sich mit großen Verdiensten bei der Totalüberwachung des dt. Volkes beliebt gemacht hat.
     
    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!