Zertifikat-Fehler beim Abrufen / Senden von E-mails

Hallo Markusm12,

Gleich zu Beginn:
Ich habe kein Konto bei web.de, will auch keines haben, und kann mir das betreffende Zertifikat auch nicht selbst ansehen. Und da du keine Einzelheiten gepostet hast, kann ich mit deinen Angaben auch nicht allzu viel anfangen. Ein möglicher, für mich so nicht sichtbarer, Grund kann zum Beispiel die Verwendung von md5 für das Hashing sein. Ein Verfahren, was schon lange nicht mehr als sicher betrachtet wird, und was der Thunderbird nun endlich nicht mehr akzeptiert. => in den Eigenschaften des Zertifikates nachsehen! Es muss da zumindest "sha1" stehen.
Ich sehe nur, dass dieses Serverzertifikat noch innerhalb seines Gültigkeitsbereiches ist und für den richtigen Server ausgestellt wurde.

Allerdings finde ich den Herausgeber des Zertifikates (also das betreffende TrustCenter) weder im Firefox, noch im Thunderbird noch in Cleopatra als vorinstalliert. Zumindest sagt mir das, dass dieses TC kein etabliertes TrustCenter ist. Wir nennen so etwas "Billigheimer" ... .

Dann habe ich mal den Namen dieses TrustCenters in die Suchmaschine meiner Wahl eingehackt. => Schau selber nach ... .
Gleich der erste Eintrag spricht nicht gerade für "grenzenloses Vertrauen". Jetzt verstehe ich auch, warum zumindest Fx und TB openSUSE diesen Herausgeber nicht vorinstalliert (oder wieder entfernt?) haben.

Zumindest sagen mir die gefundenen Stellen, dass es sich wirklich um einen Herausgeber von Zertifikaten handelt, und nicht etwa um einen Piraten. Die Verschlüsselung des Stückchens der Verbindung zwischen deinem Client und dem Server von web.de wird funktionieren.

Ich möchte meine persönliche Wertung über einen Provider, welcher nicht das Geld für Serverzertifikate von einem vertrauenswürdigen etablierten Herausgeber aufbringen kann/will, hier nicht posten.
Andererseits, woher sollte er auch das Geld haben, wenn die meisten "Kunden" für ihr E-Mailkonto nichts bezahlen wollen.

Lösung für dein Problem:
1.) Deinem Provider mal ein paar klare Fragen stellen.
2.) Überlegen, ob du wirklich die Verschlüsselung der "letzten Meile" zw. deinem eigenen Rechner und dem Mailserver benötigst.
3.) Und je nach Ergebnis dieser Überlegung entweder auf die Verschlüsselung gänzlich verzichten (=> KEINE) oder die Krückenlösung mit der Ausnahmegenehmigung wählen.

Zitat

Die web-Oberfläche von web.de funktioniert einwandfrei.

Das, was du damit meinst, nennt sich "Webmail" <grusel> und hat nun überhaupt nichts mit der Verwaltung einem Mailkontos mit einem Mailclient zu tun.

BTW: Deine Rechneruhr geht aber korrekt? Ich frage ja nur ... .

MfG Peter

Hi Markus,

die allgemeinen "Verdächtigen" (Verwendung von md5 und eine falsche Rechnerzeit) fallen also aus.
Das von web.de favorisierte TrustCenter ist immerhin eines und kein Pirat und damit auch ok.

Die wirklich saubere Lösung wäre jetzt, dass du dir von diesem TrustCenter die Herausgeberzertifikate besorgst und händisch installierst. Ein seriöses TC bietet sämtliche Herausgeberzertifikate von jedermann schnell zu finden auf seiner Webseite an. Einschließlich der Hashwerte, so dass du auch überprüfen kannst, ob es die richtigen sind. Und eigentlich sollte man auch immer diesen Weg mit dem manuellen Import wählen (von der Webseite laden, Hashwert prüfen, sich persönlich von der Seriosität des Anbieters anhand der veröffentlichten Policy und sonstigen Informationen - Suchmaschine befragen ... - überzeugen, importieren und bewusst das Vertrauen in diesen Anbieter aussprechen).
Nur, das ist natürlich für ONU absolut nicht zumutbar. Deshalb übernehmen die Hersteller der Browser, Mailclients und Betriebssysteme diese Aufgabe. Ob das immer mit der dazu nötigen Umsicht geschieht, oder ob da Geld im Spiel ist, will ich lieber nicht untersuchen.

Dieser manuelle Import und das bewusste Aussprechen des Vertrauens ist also der einzig richtige Weg. Die angebotene Ausnahmeregel bringt zwar das gleiche Ergebnis, ist aber IMHO kein sauberer Weg. Ich gehe ihn grundsätzlich nicht.

Zitat von "Markusm12"

Sofern der Internet-Provider eine Rolle spielt: Ich bin derzeit im Ausland und nutze einen lokalen UMTS Provider.

Der Provider spielt dabei keine Rolle.
Auch ich bin (werk-)tagsüber per UMTS zugange und erst abends per DSL. Und ich bin auch jedes Jahr 4 Wochen bei unserem nördlichen Nachbarn und nutze da (neben dem dort üblichen 100Mbit/s FTTH-Zugang) UMTS. Alles kein Problem.
Einzige Ausnahme: Solltest du in einer anderen Zeitzohne sein ... .

Zitat

Einzelne Sachen wickle ich mit Gnupg ab,

Das finde ich schon recht gut! (Auch wenn ich persönlich seit gut 10 Jahren von GnuPG wieder weg bin und ausschließlich S/MIME nutze. DASS wir unsere Privatsphäre schützen ist wichtig, und weniger womit.)

Zitat

Ich empfinde daher die Verschlüsselung zwischen Empfänger und Server schon als kleinen Baustein der E-mail Absicherung ...

Auch das ist richtig.
Nur muss man eben wissen, dass damit nur das kleinste Stück der Verbindung geschützt ist (ja, einige User wissen das nicht, und gehen von einem wirklichen Schutz ihrer Mails aus!). Das einzigste, was wirklich geschützt wird, sind die Zugangsdaten bei deinem Provider, also Benutzername und Passwort.
Aber, und da gebe ich dir vollkommen Recht, selbst ein kleiner Schutz ist viel besser als gar keiner. Auch ich nutze, wo es eben möglich ist, diese Verschlüsselung.
Aber wenn oder wo es eben nicht möglich ist, da "krampfe" ich auch nicht. Aber ich denke mal, du kannst dieses Problem so wie oben beschrieben lösen.

Zitat

Dass ein kostenloser Anbieter per se schlechter ist, sehe ich aber nicht so .....

Ich glaube, da ist dir wohl was "in den falschen Hals" gekommen.
Wenn ich wirklich Leistung haben will (100 echte Postfächer mit einem Quota, welches ich wohl nie auslasten werde, IMAP, werbefrei, bestimmte Servicelevel, uvam.), dann bezahle ich wirklich gern dafür. Geben und nehmen ... .
Unabhängig davon habe ich noch ein paar Accounts bei Kostnix-Anbietern. Hier nehme ich bewusst das kleinere Postfach, nur POP3, Werbung usw. in Kauf. Das hat absolut nichts mit "schlecht" zu tun! Wenn ich im Ausland bin, habe ich eben mit einem dort inländischen Provider keinerlei Probleme, beim Senden meiner Mails. Bei der Nutzung eines dt. (oder dann eben ausländischen) Providers schon.
Ich wollte mit meiner Bemerkung lediglich ausdrücken, dass ein qualitätiv hochwertiges Zertifikat (zum Bsp. von einem nach dem unwahrscheinlich strengen dt. Signaturgesetz arbeitenden TrustCenter) wirklich sehr teuer ist. Dafür gibt es auch sehr gute Gründe, denn der Aufwand für die organisatorische und technische Absicherung eines derartigen TC ist wirklich sehr hoch.
Und wenn sich ein etablierter dt. Provider eben auf das preisgünstigste Angebot einlässt ... . Ja, das hat für den Provider auch was damit zu tun, dass er eben finanziell auch einen ganzen Batzen zahlungsunwilliger Kostnixkunden durchschleppen muss. Wieder geben und nehmen ... .
(Und jetzt bitte nicht wegen des "zahlungsunwilligen Kostnixkunden" beleidigt sein. Auch im Internet werden wir uns daran gewöhnen müssen, dass es bald nichts mehr kostenlos gibt.)

Zitat

Aus deinem Post deute ich aber, dass du einen anderen Weg gehst. Wie sicherst du denn deinen mail-Verkehr ab?

Auch wenn in meinem Mails absolut nichts steht, dessen ich mich schämen müsste oder was gar gegen Gesetze verstößt, so verschlüssele ich so ziemlich alle meine Mails. Begonnen vor gut 20 Jahren mit PGP 2.0.6(?) für DOS bis irgendwann einmal 5.? für die WinDOSe. Vor etwa 10 Jahren harter Umstieg zu Linux und gleichzeitig zu S/MIME. Mit viel Überzeugungsarbeit (*) habe ich alle meine Freunde, Verwandten usw. dazu gebracht, diesen Weg mitzugehen. Heute stellt meine gar nicht mehr so kleine "Privat-CA" jährlich um die 500 Schlüsselpaare für einen fast ebenso großen Nutzerkreis aus. Noch dürfen wir unsere kleinen privaten "Geheimnisse" durch Verschlüsselung schützen.
(*) Dabei hat mir sicherlich ungewollt eine bekannte Persönlichkeit geholfen, welche sich mit großen Verdiensten bei der Totalüberwachung des dt. Volkes beliebt gemacht hat.

MfG Peter