Seit Version 45.1.1 dauernde Nachfrage nach Zertifikaten

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 45.1.1
    * Betriebssystem + Version: Window7 64 bit
    * Kontenart (POP / IMAP): IMAP
    * Postfachanbieter (z.B. GMX): Google, Yahoo, Outlook, T-Offline
    * Eingesetzte Antivirensoftware: ESET Antivirus 9
    * Firewall (Betriebssystem-intern/Externe Software): Windows


    Hi


    Seit ein paar Tagen nervt Thunderbird mit dauernden Nachfragen für Zertifikate - das habe ich die letzten zehn Jahre noch nie gehabt.


    An der Konfiguration des Rechners hat sich nichts geändert, ich habe auch schon eingestellt, dass TB sich die Zertifikate selber holen soll:


    Einstellungen ..."automatisch eins wählen" und "Aktuelle Gültigkeit... bestätigen lassen"


    Das PopUp kommt in unregelmäßigen Abständen mal für das eine mal für das andere Konto, egal ob erster Aufruf von TB oder irgendwann mittendrin.


    Das nervt gewaltig


    Hat irgendjemand eine Idee?


    Lieben Dank im Voraus

    Dateien

    • Zertifikat.pdf

      (54,54 kB, 260 Mal heruntergeladen, zuletzt: )

    Gruß Thomas

  • Hallo Thomas,


    ich habe auch ein Problem mit den Zertifikaten.
    Bei mir kommt die Fehlermeldung sofort beim Öffnen.
    Der Fehler ist nur bei der Portabel Version von Thunderbird vorhanden. Bei der Installierten Version von Thunderbird ohne Fehlermeldung.


    Eset deinstalliert und alles geht wie es soll :)

  • Hallo Thomas,

    An der Konfiguration des Rechners hat sich nichts geändert, ich habe auch schon eingestellt, dass TB sich die Zertifikate selber holen soll:

    hier hast du wohl was falsch verstanden!
    Da steht doch: "Wenn eine Website nach dem persönlichen Sicherheitszertifikat verlangt" Hast du denn ein persönliches Sicherheitszertifikat? Wohl kaum.
    Dieses wird benötigt, wenn du dich mit Hilfe dieses persönlichen Schlüssels auf sicherste Art und Weise an bestimmten Servern anmelden willst. Aber dann wüsstest du das garantiert... .


    Für den normalen https-Betrieb weist sich der Server gegenüber deinem Client mit seinem Serverzertifikat aus. Damit du weißt, dass du mit dem richtigen Server verbunden und nicht etwa mit einem Fakeserver. Und dann wird natürlich diese Verbindung auch noch verschlüsselt.


    Und genau dabei tritt eben das Problem auf. Kein AV-Scanner ist in der Lage, diese Verbindung zwischen dem Server und dem Client zu entschlüsseln, um sie mitzulesen und auf Schadcode zu überwachen (sonst könnten das ja diejenigen, wegen denen wir verschlüsseln, auch!).. Also wird die Verbindung zwischen dem Server und dem AV-Scanner aufgebaut und dieser baut wiederum eine Verbindung zu deinem Client auf. Dein Client sieht also nicht den Server, sondern deinen AV-Scanner. Und das führt dazu, dass dein Client über den vorgezeigten "Ausweis" des gefakteten "Servers" meckert. Gut gemacht!
    Wir nennen das, was ich hier beschrieben habe, einen "Man in the Middle-Angriff". Und der Thunderbird hat ihn erkannt!


    Du musst dich also jetzt entscheiden, was dir wichtiger ist:
    - die Sicherheit, dass du mit dem richtigen Server verbunden bist und keiner auf der Strecke mitlesen kann => dann verbiete dem AV-Scanner die Verbindung zu überwachen!
    - oder die IMHO fragwürdige Sicherheit der Überwachung der Verbindung durch den AV-Scanner.


    Im zweiten Fall musst du das dir vom AV-Scanner vorgezeigte Zertifikat akzeptieren. Entweder es wird als so genannte "Ausnahmeregel" hinzugefügt, oder du kannst sogar einen richtigen Import incl. dessen Herausgeberzertifikat durchführen => schau auf die Webseite des Herstellers deiner "Sicherheits"-Software.


    Meine Empfehlung:
    Verbiete deinem AV-Scanner jeglichen Zugriff auf dein TB-Userprofil und auch auf die verschlüsselten Verbindungen zu den Mailservern! Ein Sicherheitsrisiko gehst du dabei nicht ein, wenn du das Nachfolgende beachtest:
    Beim Senden einer Mail ist jeder Mailanhang vor dem Anhängen an die zu sendende Mail bewusst mit dem frisch aktualisierten Scanner zu prüfen. Das bist du den Empfängern deiner Nachricht (und deinem eigenen guten Ruf) schuldig.
    Wenn du eine Mail mit Anhang erhältst, dann darfst du keinesfalls diesen Anhang gleich aus dem Thunderbird heraus öffnen. Immer zuerst in einen Downloadordner abspeichern, dort überprüfen und danach ebenfalls in diesem Ordner öffnen.
    Und stellt der Scanner fest, dass dieser (noch ungeöffnete!) Mailanhang mit Schadcode versetzt ist, dann ist das auch kein Problem. Lass den Anhang durch den Scanner "shreddern", Lösche die betreffende Mail uner Umgehung des Papierkorbes (also mit gedrückter Shifttste) und komprimiere danach alle Ordner, in denen diese Mail mal gespeichert war (oder gleich alle).


    Absolut keine gute Empfehlung: Deine WinDOSe ohne AV-Scanner zu betreiben! Das ist Fahrlässigkeit pur!
    OK?



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo, ich hatte nur zum testen der Ursache den Virusscanner deinstalliert.
    Das sollte kein Tip sein ohne Scanner zu Surfen


    Dann ist automatisch der Windows Defender und Windows Firewall Aktiv. Zumindest bei Windows 10


    Auf einem anderen PC geht alles mit Kaspersky. Wenn Eset keine Lösung hat steige ich bei alllen PCs auf Kaspersky um.

  • Hallo allerseits und danke für die ausführliche Antwort, Peter


    Ja, es war tatsächlich der AV Scanner, der Problem bereitet!


    Ich nutze seit Jahren ESET (mit Lizenz von der Firma) Antivirus, also ohne den ganzen anderen Schickschnack.


    Der Knackpunkt ist die neueste Version 9 - alle Versionen davor haben die Zertifikate sauber behandelt.


    Auf dem Desktop ist noch die 8er Version drauf (und belibt es auch ;) ), nur auf dem neu aufgesetzten Notebook wurde gleich die Neueste installiert und dann ging's los...


    Daher werde ich den Scan auf dem Notebook abschalten und so verfahren, wie Peter es anregt.
    Das Dateianhänge aus unbekannten Quellen gechackt werde, versteht sich von selbst.


    2001 hatte ich einen satten Datencrash durch Viren, glücklicherweise hatte ich in der Firma ein frisches Backup auf CD.
    Seitdem bin ich da vorsichtig.

    Gruß Thomas

  • Freut mich, dass ich dir helfen konnte.

    Das Dateianhänge aus unbekannten Quellen gechackt werde,

    Fast richtig ;-)
    Da jeder "begabte" E-Mail-Versender prinzipiell sich mit jeder Absenderadresse und auch mit jedem beliebigen Absendernamen schmücken kann, empfehle ich jedem Mailempfänger sämtliche ankommenden Mailanhänge abzulösen, zu scannen und erst danach vor Ort zu öffnen. Denn du weißt nicht, wer der wirkliche Absender ist!


    Und dann gibt es auch leider immer noch unvernünftige Versender von E-Mails, die es nicht für nötig halten, eine zu versendende Datei zuerst mal zu überpfüfen, bevor sie selbige an die Mail anhängen. Dieses Verhalten ist zwar verantwortungslos, aber manche Zeitgenossen interessiert das nicht (oder sie "wissen das nicht"). Also: auch hier wie beschrieben verfahren, denn auch der Rechner deines besten Freundes kann "mit Schadcode belastet" sein.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!