ownCloud-Kalender: Nach SSL-Zertifikatsänderung wird Ausnahmeregel nicht akzeptiert

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.3.0
    * Lightning-Version: 3.3.1
    * Betriebssystem + Version: Xubuntu 14.04.1


    Hallo


    Seit auf dem von mir genutzten ownCloud-Server das SSL-Zertifikat geändert wurde, und dabei auch der Anbieter des Zertifikats gewechselt wurde (aktuell: GeoTrust), scheitert die Synchronisierung meines ownCloud-Kalenders mit Lightning.
    Es erscheint ständig das Fenster: "Sicherheits-Ausnahmeregel hinzufügen", Wenn ich auf "Sicherheits-Ausnahmeregel bestätigen" klicke, geht dasselbe Fenster mit derselben Meldung wieder auf. Und das geht endlos so weiter, bis ich abbreche.


    Ich habe versucht:
    Kalender löschen und neu anlegen
    Lightning deinstallieren und neu installieren
    secmod.db, cert8.db, key3.db, signons.sqlite, storage.sdb löschen
    Über Einstellung Zertifikat entfernen, Passwörter löschen
    Über Einstellungen Zertifikats-Ausnahmeregel manuell hinzufügen
    Zertifikatsvalidierung: OCSP verwenden deaktivieren


    Einiges davon ist vermutlich offensichtlich sinnlos. Anderes vielleicht weniger offensichtlich, aber trotzdem nicht zielführend.


    Nichts davon löste das Problem.


    Dann habe ich ein neues Profil angelegt, dort Lightning neu installiert, und konnte dort den Kalender neu verknüpfen und synchronisieren und … es funktionierte.


    Nun ist es aber keine attraktive Lösung, auf allen PCs neue Thunderbird-Profile anzulegen, da allein bei mir auf jedem Rechner mehrere Konten mit unzähligen Filterregeln liegen.


    Deswegen wüsste ich gerne, wo Lightning überall reinschreibt, was ich alles entfernen oder ändern muss, damit es doch funktioniert. Nach Möglichkeit ohne Maileinstellungen oder gleich die ganze Thunderbird-Installation kaputtzumachen.


    Gibt es da eine Möglichkeit?


    Ich würde mich über Tipps sehr freuen.


    Danke im Voraus.

  • Hallo mario_m,


    und willkommen im Forum!
    Dieses, sorry, elende Hinzufügen einer Ausnahmeregel ist IMHO die schlechteste Krückenlösung, die es gibt.
    Richtig wäre, das entsprechende Herausgeberzertifikat, mit welchem der Herausgeber das Serverzertifikat signiert hat, herunterzuladen (steht bei jedem seriösen TrustCenter auf deren Webseite!), in den entsprechenden Geräten zu importieren (also im TB, bei Bedarf im Fx und evtl. auch im Zertifikatsstore des Betriebssystems) und diesem Zertifikat das Vertrauen auszusprechen. Damit gewährleistest du zweierlei:
    1. Dass alle Zertifikate dieses Herausgebers auch zukünftig (innerhalb der Gültigkeit dieses Herausgeberzertifikates) als gültig erkannt werden, und
    2. Dass bei einem evtl. notwendigen Zurückziehen dieses Herausgeberzertifikates (Kompromittierung des TC) alle dessen Zertifikate ungültig werden.


    Natürlich musst du dabei penibel aufpassen, dass du das oder die richtigen Zertifikat/e dieses TrustCenters importierst. Du machst aber auch keinen Fehler, wenn du alle nimmst, also das oberste (root-)Zertifikat und das, welches in deinem Serverzertifikat genannt ist. Achte dabei auf die exakte ID oder den Fingerprint.


    > Kalender löschen und neu anlegen ===> hat nichts damit zu tun.
    > Lightning deinstallieren und neu installieren ===> ebenso.
    > secmod.db, cert8.db, key3.db, signons.sqlite, storage.sdb löschen ===> es hilft mitunter bei zerschossenen Datenbanken für die Zertifikate und Passw.
    > Über Einstellung Zertifikat entfernen, Passwörter löschen ===> mitunter bei derartigen Problemen auch hilfreich
    > Über Einstellungen Zertifikats-Ausnahmeregel manuell hinzufügen ===> siehe obigen Text
    > Zertifikatsvalidierung: OCSP verwenden deaktivieren ===> OCSP nutzt was, wenn der Herausgeber der Zertifikate einen betreibt.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

    2 Mal editiert, zuletzt von Peter_Lehmann ()

  • Vielen Dank!


    Dank deiner Hilfe funktioniert die Synchronisierung des ownCloud-Kalenders wieder – und ich habe viel über Zertifikate gelernt.


    Für alle, die vielleicht in ferner Zukunft noch auf diesen Thread stoßen, fasse ich die Schritte zusammen:


    1.) Suchen des Zertifikats der Zertifizierungsstelle, mit welchem das Serverzertifikat signiert wurde. (Das war der aufwändigste Teil. Ich habe die Site der Zertifizierungsstelle aufgesucht. Dort fand ich ein Tool, das sich "Check your certificate installation" nannte. Ich gab die URL des Servers ein, und erhielt eine Darstellung der Zertifikatskette mit einem Link zum fehlenden Zertifkat der Zertifizierungsstelle, mit dem das Serverzertifikat signiert wurde. Dieses Zertifikat wird wohl von Zertifizierungsstelle zu Zertifizierungsstelle anders zu finden sein – wie oben von Peter_Lehmann erklärt.)
    2.) Löschen des Serverzertifikats des ownCloud-Servers aus der Liste "Server" im Zertifikatsmanager von Thunderbird (Einstellungen - Erweitert - Zertifikate - Zertifikate - Server).
    3.) Importieren des mühsam gesuchten Zertifikats der Zertifizierungsstelle, mit dem das Serverzertifikat signiert wurde, im Zertifikatsmanager von Thunderbird in die Liste der Zertifizierungsstellen (Einstellungen - Erweitert - Zertifikate - Zertifikate - Zertifizierungsstellen).
    4.) Löschen des Kalenders im Lightning.
    5.) Schließen von Thunderbird.
    6.) Starten von Thunderbird.
    7.) Neuerlich Eintragen des ownCloud-Kalenders ("Neuer Kalender").


    Und dann funktionierte plötzlich alles wie es sollte.


    Nochmals vielen Dank und beste Grüße.