Thunderbird 31.3.0 ssl_error_no_cypher_overlap

Hallo Murican,

zwei Ideen zu der möglichen Ursache:

1. Dein AV-Programm darf verschlüsselte Verbindungen untersuchen und kommt nicht so recht zurecht. Abhilfe: Deaktiviere das Scannen von E-Mails oder führe einen Test mit komplett deaktivierten AV-Programm durch.
2. Da Du Deinen eigenen Mailserver betreibst, überprüfe, ob dieser korrekt für TLS 1.2 konfiguriert ist. Ich vermute, Mozilla hat auch im TB die Unterstützung von von SSL 3.0 / TLS 1.0 beendet. Poodle lässt grüßen.
Sollte der lokale Server nicht Deiner sondern z.B. der Deines Arbeitgebers sein, kontaktiere den Admin.

Gruß

Susanne

Hallo Peter,

ich traue den Herstellern von AV-Software so ganz allgemein schon vieles zu, auch dass der eine oder andere Poodle verschlafen hat. Aber Nummer 2 ist schon der klare Favorit.

Also na, auf die Wettn steig I liaba ned ein. Da wär I ja schee bleed

Viele Grüße

Susanne

Fein, dass es nun wieder läuft. Sei doch bitte so nett und markiere den Faden oben, neben der Überschrift, noch als erledigt.

edited:
* Thunderbird-Version: 31.4.0
* Betriebssystem + Version: Win7 Enterprise 64-Bit
* Kontenart (POP / IMAP): noMatter
* Postfachanbieter (z.B. GMX): noMatter

*push*
Hallo,

murican: Wie genau hast du dein Problem gelöst?
@all: Ich bekomme die Fehlermeldung "ssl_error_no_cypher_overlap", sobald ich versuche, meine Kalender auf Apple iCal mit Lightning zu verbinden (TB v31.4, Lightning v3.3.2)

Ich weiß, dass Mozilla TB die SSLv3 abgeschalten hat. Mit TB v24.X und Lightning v2.6.6 habe ich die Kalender folgendermaßen bezogen: "https://meineDomain.de:8443/calendars/abc/def/ghi"

Nach den Updates auf TB v31.x und Lightning v3.x funktioniert es nicht mehr (ssl_error_no_cypher_overlap: Klar, weil Mozilla wie gesagt die SSLv3 abgeschalten hat).

Habe herausgefunden, dass ich die Kalender trotzdem einbinden kann mit "http://meineDomain.de:xy/calendars/abc/def/ghi" (Port xy: vergessen welcher) (Also ohne verschlüsselung?!)

Ist das richtig so, oder seht ihr eine mögliche Gefährdung (zB. Kalender nach Aussen sichtbar). Oder gibt es eine andere Möglichkeit ?

Viele Grüße,
dummyUser

Hallo dummyUser,

dann will ich Dich zunächst einmal mit einem Lob begrüßen: Du hast Dir die Mühe gemacht, zunächst im Forum nach einer Lösung zu suchen, fein. Das machen leider nicht alle.
Da es aber immer Luft nach oben gibt, folgt nun auch etwas Kritik. Deine Beschreibung ist leider nicht sehr aussagekräftig. Das beginnt mit den 4 Fragen, die zwar nur beim Öffnen eines Fadens direkt abgefragt werden, die Du aber oben im ersten Posting von murican sehen kannst. Deren Beantwortung hole bitte nach. Sonst können wir hier alle nur raten.

Du hast richtig erkannt, dass das Problem mit der SSL/TLS-Verschlüsselung zusammenhängt. Diesen Satz

Zitat von dummyUser

meine Kalender auf Apple iCal mit Lightning zu verbinden (TB v31.4, Lightning v3.3.2)

verstehe ich allerdings nicht. iCal ist doch der Kalender von Apple, oder nicht? Verwendest Du MacOS? Oder iOS? Oder beides? Vielleicht auch einen Windows PC plus iPhone? Du siehst, hier geht das Raten schon los.

Die nächste Frage ist dann die nach dem Server. Ist das Dein eigener Server? Sofern der Fehler nicht durch eine Sicherheitssoftware verursacht wird, liegt es daran, dass dieser Server "meineDomain.de" entweder nach wie vor kein TLS unterstützt oder der Port nicht stimmt. In diesem Fall musst Du also entweder im TB den richtigen Port wählen oder, was wahrscheinlicher ist, den Server so konfigurieren, dass er TLS unterstützt, SSL aber nicht mehr.

Zitat von dummyUser

Ist das richtig so, oder seht ihr eine mögliche Gefährdung (zB. Kalender nach Aussen sichtbar).

Wenn Du den Kalender über http ansprichst, dann erfolgt die Verbindung unverschlüsselt und kann mitgelesen werden. Das könnte insbesondere dann der Fall sein, wenn Du Dich in öffentlichen WLANs befindest. Das Risiko musst Du selbst abschätzen.

Sollte der Server tatsächlich immer noch SSL unterstützen, dann liegt hier das größere Risiko. Durch Ausnutzen der Poodle-Lücke kann ein Angreifer auf diese Art eine Man-in-the-Middle-Atacke ausführen. Je nachdem um was für einen Server es sich handelt und welche Dienste Du dort anbietest, kann das übel werden. Wenn Du z.B. einen Webshop betreibst oder überhaupt Daten von anderen Benutzer auf dem Server speicherst, dann könnten deren Informationen inklusive der Passwörter in fremde Hände gelangen. Diese Lücke solltest Du also dringend schließen, so sie denn existiert.

Gruß

Susanne

Hallo und vielen Dank für die schnelle Antwort.

Also folgendes:

Ich bin Client an einem Win7 Enterprise 64-Bit Rechner. Die Kalendereinträge befinden sich auf einem Apple Server (Calender Server). Über CalDAV erfolgt die Kommunikation zw. Thunderbird Lightning und dem Server.

Dadurch, dass Lightning bzw. TB nicht mehr SSL verwendet, aber die Gegenseite (Apple Calendar Server) schon, gibt es eben diesen Konflikt.

Über TLS und SSL auf dem Server muss ich mich nochmal informieren, ob und wie man das konfiguriert. (Es gibt lediglich eine Kontrolbox, mit der man SSL de-/aktivieren kann.

Es wird sich bestimmt ein "sicheren" workaround finden lassen... irgendwie. Ich möchte natürlich nicht, dass Anmeldedaten und/oder Kalendereinträge in fremde Hände gelangen

Grüße,
dummyUser

Beim MacOS-Server kann ich Dir nicht weiterhelfen. Die sind im Vergleich zu Linux-Servern sehr rar. Meines Wissens handelt es sich dabei aber im Grunde nur um ein MacOS-X mit zusätzlichen Programmen wie MySQL, Apache, dem iCal-Server usw. . Vielleicht kann Mapenzi mehr dazu sagen.
Ich gehe aber fest davon aus, dass dieser Server TLS-verschlüsseln kann, zumal die Apple-Clients das ja längst können.

Zitat von dummyUser

Es wird sich bestimmt ein "sicheren" workaround finden lassen... irgendwie.

Ich fürchte, hier muss ich Dich enttäuschen. Die Poodle-Lücke wurde zwar inzwischen geschlossen, oder besser gesagt: es gibt Fixes dazu, die den fallback auf das alte SSL verhindern. Dennoch sind viele Provider und auch Software-Hersteller dazu übergegangen, SSL gar nicht mehr zu unterstützen. Und wenn Du mich fragst, ist das auch richtig so. Es war längst überfällig.
Somit bleiben Dir als Möglichkeiten entweder auf die Verschlüsselung zu verzichten, beim unsicheren SSL zu bleiben (dann aber ohne TB) oder den Server auf TLS zu bringen.

Zitat von dummyUser

Ich möchte natürlich nicht, dass Anmeldedaten und/oder Kalendereinträge in fremde Hände gelangen

Beachte, dass es hier nur um die Transportverschlüsselung geht. Wenn der Server nicht unter Deiner alleinigen Kontrolle ist und die Daten dort unverschlüsselt liegen, hat der Provider eh Zugriff darauf.
Wenn Du dort Daten von Dritten oder aus anderen Gründen zu schützende Daten gespeichert hast, solltest Du m.E. auf jeden Fall darüber nachdenken, diese auch verschlüsselt zu speichern.