Thunderbird 31.3.0 ssl_error_no_cypher_overlap

  • * Thunderbird-Version: 31.3.0
    * Betriebssystem + Version: Win8.1 Pro x64
    * Kontenart (POP / IMAP): imap
    * Postfachanbieter (z.B. GMX): lokaler server


    Hallo Liebes Forum,
    Bis zu dem Update gestern Funktionierte der TB wunderbar.
    Jetzt bekomme ich Meldungen das die imap Verbindung nicht richtig tut. Kein Abruf verschieben in Ordner etc möglich.



    Zeitstempel: 03.12.2014 09:51:04
    Fehler: Ein Fehler ist während einer Verbindung mit imap.****.de:993 aufgetreten.
    Sichere Kommunikation mit der Gegenstelle ist nicht möglich: Keine gemeinsamen Verschlüsselungsalgorithmen.
    (Fehlercode: ssl_error_no_cypher_overlap)


    Senden über smtp + SSL Port 587 geht!


    Grüße Murican

  • Hallo Murican,


    zwei Ideen zu der möglichen Ursache:


    1. Dein AV-Programm darf verschlüsselte Verbindungen untersuchen und kommt nicht so recht zurecht. Abhilfe: Deaktiviere das Scannen von E-Mails oder führe einen Test mit komplett deaktivierten AV-Programm durch.
    2. Da Du Deinen eigenen Mailserver betreibst, überprüfe, ob dieser korrekt für TLS 1.2 konfiguriert ist. Ich vermute, Mozilla hat auch im TB die Unterstützung von von SSL 3.0 / TLS 1.0 beendet. Poodle lässt grüßen.
    Sollte der lokale Server nicht Deiner sondern z.B. der Deines Arbeitgebers sein, kontaktiere den Admin.


    Gruß


    Susanne

  • Hallo Susanne,


    nimmst du Wetten an?
    Eine gute Flasche roten Ahr-Weines (*) dafür, dass dein Punkt 2 zutrifft ;-) IMHO ist die Fehlermeldung eindeutig.
    (*) Abzuholen natürlich bei mir ...


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter,


    ich traue den Herstellern von AV-Software so ganz allgemein schon vieles zu, auch dass der eine oder andere Poodle verschlafen hat. Aber Nummer 2 ist schon der klare Favorit.


    Also na, auf die Wettn steig I liaba ned ein. Da wär I ja schee bleed ;-)


    Viele Grüße


    Susanne

  • Hallo.
    Vielen Dank schon mal für die schnelle Rückmeldung!
    Punkt 1 war es nicht!
    Ich suche derzeit noch die Entsprechenden Server Einstellungen...


    Grüße Murican

  • Im Nachbarforum wird auch schon darüber diskutiert: Neue SSL-Lücke POODLE - Schutzmaßnahme für Firefox

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Ja es ist wirklich die SSL3 Abschaltung.
    Hat gedauert aber jetzt läufts wieder!
    Vielen Dank nochmal für alles!


    Grüße Muri

  • Fein, dass es nun wieder läuft. Sei doch bitte so nett und markiere den Faden oben, neben der Überschrift, noch als erledigt.

  • edited:
    * Thunderbird-Version: 31.4.0
    * Betriebssystem + Version: Win7 Enterprise 64-Bit
    * Kontenart (POP / IMAP): noMatter
    * Postfachanbieter (z.B. GMX): noMatter


    *push*
    Hallo,


    murican : Wie genau hast du dein Problem gelöst?
    @all: Ich bekomme die Fehlermeldung "ssl_error_no_cypher_overlap", sobald ich versuche, meine Kalender auf Apple iCal mit Lightning zu verbinden (TB v31.4, Lightning v3.3.2)


    Ich weiß, dass Mozilla TB die SSLv3 abgeschalten hat. Mit TB v24.X und Lightning v2.6.6 habe ich die Kalender folgendermaßen bezogen: "https://meineDomain.de:8443/calendars/abc/def/ghi"


    Nach den Updates auf TB v31.x und Lightning v3.x funktioniert es nicht mehr (ssl_error_no_cypher_overlap: Klar, weil Mozilla wie gesagt die SSLv3 abgeschalten hat).


    Habe herausgefunden, dass ich die Kalender trotzdem einbinden kann mit "http://meineDomain.de:xy/calendars/abc/def/ghi" (Port xy: vergessen welcher) (Also ohne verschlüsselung?!)


    Ist das richtig so, oder seht ihr eine mögliche Gefährdung (zB. Kalender nach Aussen sichtbar). Oder gibt es eine andere Möglichkeit ?


    Viele Grüße,
    dummyUser

    Einmal editiert, zuletzt von dummyUser ()

  • Hallo dummyUser,


    dann will ich Dich zunächst einmal mit einem Lob begrüßen: Du hast Dir die Mühe gemacht, zunächst im Forum nach einer Lösung zu suchen, fein. Das machen leider nicht alle.
    Da es aber immer Luft nach oben gibt, folgt nun auch etwas Kritik. Deine Beschreibung ist leider nicht sehr aussagekräftig. Das beginnt mit den 4 Fragen, die zwar nur beim Öffnen eines Fadens direkt abgefragt werden, die Du aber oben im ersten Posting von murican sehen kannst. Deren Beantwortung hole bitte nach. Sonst können wir hier alle nur raten.


    Du hast richtig erkannt, dass das Problem mit der SSL/TLS-Verschlüsselung zusammenhängt. Diesen Satz


    meine Kalender auf Apple iCal mit Lightning zu verbinden (TB v31.4, Lightning v3.3.2)


    verstehe ich allerdings nicht. iCal ist doch der Kalender von Apple, oder nicht? Verwendest Du MacOS? Oder iOS? Oder beides? Vielleicht auch einen Windows PC plus iPhone? Du siehst, hier geht das Raten schon los.


    Die nächste Frage ist dann die nach dem Server. Ist das Dein eigener Server? Sofern der Fehler nicht durch eine Sicherheitssoftware verursacht wird, liegt es daran, dass dieser Server "meineDomain.de" entweder nach wie vor kein TLS unterstützt oder der Port nicht stimmt. In diesem Fall musst Du also entweder im TB den richtigen Port wählen oder, was wahrscheinlicher ist, den Server so konfigurieren, dass er TLS unterstützt, SSL aber nicht mehr.


    Ist das richtig so, oder seht ihr eine mögliche Gefährdung (zB. Kalender nach Aussen sichtbar).


    Wenn Du den Kalender über http ansprichst, dann erfolgt die Verbindung unverschlüsselt und kann mitgelesen werden. Das könnte insbesondere dann der Fall sein, wenn Du Dich in öffentlichen WLANs befindest. Das Risiko musst Du selbst abschätzen.


    Sollte der Server tatsächlich immer noch SSL unterstützen, dann liegt hier das größere Risiko. Durch Ausnutzen der Poodle-Lücke kann ein Angreifer auf diese Art eine Man-in-the-Middle-Atacke ausführen. Je nachdem um was für einen Server es sich handelt und welche Dienste Du dort anbietest, kann das übel werden. Wenn Du z.B. einen Webshop betreibst oder überhaupt Daten von anderen Benutzer auf dem Server speicherst, dann könnten deren Informationen inklusive der Passwörter in fremde Hände gelangen. Diese Lücke solltest Du also dringend schließen, so sie denn existiert.


    Gruß


    Susanne

  • Hallo und vielen Dank für die schnelle Antwort.


    Also folgendes:


    Ich bin Client an einem Win7 Enterprise 64-Bit Rechner. Die Kalendereinträge befinden sich auf einem Apple Server (Calender Server). Über CalDAV erfolgt die Kommunikation zw. Thunderbird Lightning und dem Server.


    Dadurch, dass Lightning bzw. TB nicht mehr SSL verwendet, aber die Gegenseite (Apple Calendar Server) schon, gibt es eben diesen Konflikt.


    Über TLS und SSL auf dem Server muss ich mich nochmal informieren, ob und wie man das konfiguriert. (Es gibt lediglich eine Kontrolbox, mit der man SSL de-/aktivieren kann.


    Es wird sich bestimmt ein "sicheren" workaround finden lassen... irgendwie. Ich möchte natürlich nicht, dass Anmeldedaten und/oder Kalendereinträge in fremde Hände gelangen ;)


    Grüße,
    dummyUser

    Einmal editiert, zuletzt von dummyUser ()

  • Beim MacOS-Server kann ich Dir nicht weiterhelfen. Die sind im Vergleich zu Linux-Servern sehr rar. Meines Wissens handelt es sich dabei aber im Grunde nur um ein MacOS-X mit zusätzlichen Programmen wie MySQL, Apache, dem iCal-Server usw. . Vielleicht kann Mapenzi mehr dazu sagen.
    Ich gehe aber fest davon aus, dass dieser Server TLS-verschlüsseln kann, zumal die Apple-Clients das ja längst können.


    Es wird sich bestimmt ein "sicheren" workaround finden lassen... irgendwie.


    Ich fürchte, hier muss ich Dich enttäuschen. Die Poodle-Lücke wurde zwar inzwischen geschlossen, oder besser gesagt: es gibt Fixes dazu, die den fallback auf das alte SSL verhindern. Dennoch sind viele Provider und auch Software-Hersteller dazu übergegangen, SSL gar nicht mehr zu unterstützen. Und wenn Du mich fragst, ist das auch richtig so. Es war längst überfällig.
    Somit bleiben Dir als Möglichkeiten entweder auf die Verschlüsselung zu verzichten, beim unsicheren SSL zu bleiben (dann aber ohne TB) oder den Server auf TLS zu bringen.


    Ich möchte natürlich nicht, dass Anmeldedaten und/oder Kalendereinträge in fremde Hände gelangen


    Beachte, dass es hier nur um die Transportverschlüsselung geht. Wenn der Server nicht unter Deiner alleinigen Kontrolle ist und die Daten dort unverschlüsselt liegen, hat der Provider eh Zugriff darauf.
    Wenn Du dort Daten von Dritten oder aus anderen Gründen zu schützende Daten gespeichert hast, solltest Du m.E. auf jeden Fall darüber nachdenken, diese auch verschlüsselt zu speichern.

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 38.7.2
    * Betriebssystem + Version: Windows 7 Ultimate
    * Kontenart (POP / IMAP): IMAP
    * Postfach-Anbieter (z.B. GMX): Lokale Körperschaft (Gemeindenverband)
    * Eingesetzte Antiviren-Software: Avira
    * Firewall (Betriebssystem-intern/Externe Software): Win7 intern
    * Router-Modellbezeichnung (bei Sende-Problemen): Sitecom AC750


    Hallo,
    ich erhalte die selbe Fehlermeldung wie der Threadstarter. Grund dafür ist laut Provider die "Deaktivierung SSLv2 / SSLv3 –Upgrade auf TLS 1.0".
    Es wird eine Anleitung gegeben, wie man auf Browsern TLS aktivieren kann, allerdings habe ich keine Informationen darüber, was ich tun muss um meine Mails weiterhin mittels Thunderbird über IMAP abrufen zu können.
    Bei der Verschlüsselung der Mails gibt es ja nur die Option "SSL/TLS". Kann mir jemand bitte sagen, wie ich Thunderbird für TLS konfiguriere? Danke!

  • Hallo trotttl,


    willkommen im Thunderbird-Forum!


    Kann mir jemand bitte sagen, wie ich Thunderbird für TLS konfiguriere? Danke!


    nennt sich in Thunderbird "STARTTLS".


    Gruß
    Feuerdrache

    „Innerhalb der Computergemeinschaft lebt man nach der Grundregel, die Gegenwart sei ein Programmfehler, der in der nächsten Ausgabe behoben sein wird.“
    Clifford Stoll, amerik. Astrophysiker u. Computer-Pionier