Zertifikatsprobleme "Falsche Website" - korrekter DNS-Name?

  • Hallo,


    erstmal die Rahmenbedingungen:
    Thunderbird 45.4.0, Betriebssystem: Windows 7, Mail-Server: eigener Debian-Server (8.4) auf bu-town.de (mit gültigem SSL-Zertifikat), Antivirus: Avast (aber deaktiviert).


    Folgendes Problem: Ich habe einen Mail-Server eingerichtet. An die Adresse bella@bu-town.de gesendete Mails werden empfangen und gespeichert. Nun möchte ich mit Thunderbird auf diese Mails zugreifen. Beim Einrichten bringt er die Fehlermeldung
    "Diese Website versucht sich mit ungültigen Informationen zu identifizieren. Falsche Website. Das Zertifikat gehört zu einer anderen Website, was heißen könnte, dass jemand versucht, sich als diese Website auszugeben"

    Das liegt wohl an dem SSL-Zertifikat, was auf den Namen "www.bu-town.de" plus alternativen Namen "bu-town.de" ausgestellt wurde. Der Zertifizierungspfad kann offenbar überprüft werden, sobald ich alle StartCom (mein Zertifikats-Austeller) Zwischenzertifikate importiert habe, denn damit verschwindet die zugehörige Fehlermeldung. Ich gehe davon aus, dass er entweder den alternativen Namen nicht liest oder noch andere alternative Namen (wie imap.bu-town.de) bräuchte. Mit telnet kann ich eine Verbindung herstellen, die MX-Einträge stimmen meiner Meinung nach auch. Ich gehe davon aus, dass es am Namen bzw. am alternativen Namen hängt.


    Dankbar für alle Tipps :) Lg

    Einmal editiert, zuletzt von bella_ ()

  • Hallo bella,


    ich verstehe gerade das Problem nicht. Du schreibst:


    Der Zertifizierungspfad kann offenbar überprüft werden, sobald ich alle StartCom (mein Zertifikats-Austeller) Zwischenzertifikate importiert habe, denn damit verschwindet die zugehörige Fehlermeldung.

    Damit sollte dann doch alles in Ordnung sein?


    Gruß


    Susanne

  • Ja, die eigentliche Fehlermeldung ist ja auch, dass der Name der Webseite nicht stimmt (fette Fehlermeldung).
    Meine anderen Anmerkungen bezogen sich auf sonstige Probleme, die auftreten könnten, die ich aber bereits ausgeschlossen habe.

  • Tut mir leid, ich kann Dir nicht folgen. Vielleicht war es gestern zu spät und ist es heute noch zu früh am Tag? Wenn die Fehlermeldung (und damit der Fehler) nicht mehr auftritt, sobald Du die Zertifikatskette vollständig importiert und ihr das Vertrauen ausgesprochen hast, dann weiß ich nicht, was hier noch ein Problem darstellt.

  • Achso, tut mir leid. Das ist wohl missverständlich. Also anfangs hatte ich zwei Fehler. Einer davon hing mit dem Pfad zusammen. Das konnte ich lösen, indem ich alle Pfad Zertifikate importiert habe (auch das eigentliche). Das Problem ist die Fehlermeldung oben. Offenbar stimmt etwas mit dem Namen des Zertifikats nicht.


    Ich versuche mich zu imap.bu-town.de:143 zu verbinden und im Zertifikat sind als DNS-Namen "www.bu-town,de" und alternativ (SAN) "bu-town.de" eingetragen. Das versucht mMn die Probleme.
    Deswegen meine Frage: Seht ihr (siehst du) das auch so? Und wenn ja: Was bräuchte er denn als DNS-Namen? Und: Liest er den alternativen Namen überhaupt?

  • Hallo,


    vielleicht habe ich auf die Schnelle etwas überlesen, aber:


    Viele günstige Zertifikate enthalten nur www.example.com als gültigen DNS-Namen. Manchmal (so auch bei Let's Encrypt) kann man zusätzlich noch example.com als zweiten gültigen Namen mit aufnehmen lassen. imap.example.com ist also nicht bei den gültigen DNS-Namen mit im Zertifikat enthalten. Formal ist imap.example.com eine Sub-Domain von example.com. Sub-Domains muss man extra (und letztlich für viel Geld) in die Zertifikate mit aufnehmen lassen. Das geht dann bis hin zu den Wildcard-Zertifikaten, wo man beliebige Sub-Domains verwenden kann: *.example.com


    Nun könnte man sich überlegen, ob man im DNS-System seines Servers die Adresse für den MX auf www.example.com festlegt (Du hast momentan imap.example.com oder vielleicht mail.example.com als MX), wenn dieses www.example.com im Zertifikat enthalten ist. @SusiTux kann uns vielleicht sagen, ob das eine schlechte Idee ist? Ich selbst akzeptiere in Thunderbird lieber die Ausnahme für das Zertifikat (welches ich mir in Ruhe angesehen habe, dass es auch wirklich meines ist...).

    Gruß
    Thunder


    Keine Forenhilfe per Konversation! - Danke für Euer Engagement und Eure Geduld!

  • Hallo Thunder,


    danke! Also müsste deiner Meinung nach imap (und dann auch smtp) als subdomain registriert sein? StartCom verbietet mir bei dem kostenlosen Zertifikat Wildcard-Domänen wie *.example.com. Ich müsste also genau wissen, welche subdomains benötigt werden. Das mit mail als subdomain habe ich bereits gesehen, aber nicht verstanden. Was hat es damit auf sich? Beinhaltet das imap und smtp?


    Und du sagst ich solle mir überlegen den MX auf www. example.com (ohne Leerzeichen) lauten zu lassen. Ist dann meine Mailadresse nach wie vor auf @example.com oder dann auf @www. example.com (ohne Leerzeichen)? Mein aktueller MX-Eintrag lautet auf example.com. Ist das bereits falsch?

  • Hallo,


    @SusiTux kann uns vielleicht sagen, ob das eine schlechte Idee ist?

    Nein, das kann ich leider nicht. Ich habe in diesem Bereich nur Halbwissen. Ich würde es allerdings nicht machen, weil sich der MX-RR einer Domain ja ausschließlich auf E-Mail bezieht. Meines Wissen dürfen dort deshalb nur Domain-Namen* stehen.


    Ich würde auch nicht versuchen, ein Problem mit einem Zertifikat, das ja zunächst einmal nichts mit dem Dienst des SMTP oder dem DNS zu tun hat, dadurch zu lösen, diese Dienste "auszutricksen".


    Ich selbst akzeptiere in Thunderbird lieber die Ausnahme für das Zertifikat (welches ich mir in Ruhe angesehen habe, dass es auch wirklich meines ist...).

    Das würde ich ebenso machen. Ich Zweifel, würde ich mir ein Zertifikat mit dem richtigen Eintrag besorgen. Zuvor würde ich aber nochmals sehr genau prüfen, ob der Zertifikatskette das Vertrauen für "Dieses Zertifikat kann E-Mail-Benutzer identifizieren" ausgesprochen wurde.


    Gruß


    Susanne


    (*) : natürlich inklusive Subdomains, aber ohne "www"

    Einmal editiert, zuletzt von SusiTux () aus folgendem Grund: Rechtschreibung "richtig" gemacht.

  • würde ich mir ein Zertifikat mit dem Richtigen Eintrag besorgen

    Genau das ist ja die Frage. Was für Einträge bräuchte ich denn? Ich kann noch alternative Namen hinzufügen. Aber eben keine Wildcard, deswegen bräuchte ich alle benötigten Subdomains.


    Aber am Pfad liegt es sicher nicht. Das habe ich ausgeschlossen.


    Naja, falls jemand mehr Ahnung hat, kann er ja Bescheid geben, bis dahin werde ich wohl die Ausnahmeregel nehmen.


    Lg, danke für die Mühen.

  • Genau das ist ja die Frage. Was für Einträge bräuchte ich denn?

    Ich dachte, das wäre längst geklärt. Der Name muss mit dem Hostname des Servers übereinstimmen, wie Du ihn auch in TB benutzt, um den Server zu erreichen.


    Aber am Pfad liegt es sicher nicht. Das habe ich ausgeschlossen.

    Das kannst nur Du wissen. Ganz ehrlich, bei der unscharfen Art und Weise, in der Du das Problem beschreibst, bin ich mir da immer noch nicht sicher. Du hast z.B. nirgends erwähnt, ob Du das Vertrauen korrekt ausgesprochen hast. Ich bin mir nicht einmal sicher, ob Du überhaupt genau weißt, was Du tust.


    Da soll mir aber egal sein. Wenn es denn mit dem Hinzufügen der Ausnahme funktioniert, sollte doch alles in Ordnung sein. Du hast die Zertifikate doch selbst installiert und willst ihnen eh vertrauen. Dann spricht nichts gegen eine solche Ausnahme. Vom Sicherheitsaspekt gesehen, macht das keinen Unterschied.


    Ansonsten würde ich Dir empfehlen, die Zertifikate mit einer eigenen CA selbst zu erstellen. Das geht im Terminal mit openssl, aber auch mit einem Tool, das Dovecot mitliefert oder in einer graphischen Oberfläche mit xca. Letzteres habe ich bereits mehrfach benutzt, um Zertifikate für das Verschlüsseln und Signieren von E-Mails und den verschlüsselte Zugriff auf meinen Raspberry Pi (Kalender und Kontakte im TB per *Dav) zu ermöglichen. Ich kann also bestätigen, dass der TB einwandfrei mit diesen Zertifikaten arbeitet.


    Startcom wurde übrigens seitens Mozilla und anderen erst kürzlich von der Liste der vertrauenswürdigen CAs gestrichen. Das betrifft in erster Linie den Firefox, soll hier also nur eine Info sein.


    Naja, falls jemand mehr Ahnung hat, kann er ja Bescheid geben

    Ich weiß ja nicht, wie es Thunder dabei geht, aber nach dieser motivierenden Bemerkung solltest Du in der Tat auf jemand anderen warten. Ich werde meinen Samstag nicht weiter mit Dir verplempern. :mrgreen:


    Gruß


    Susanne

  • Hallo Susanne,


    so war es nicht gemeint. Ihr gebt mir nur immer dieselben Tipps (Zertifizierungspfad), von denen ich gesagt habe, dass ich sie ausschließen konnte:


    anfangs hatte ich zwei Fehler. Einer davon hing mit dem Pfad zusammen. Das konnte ich lösen


    Du schreibst:


    Der Name muss mit dem Hostname des Servers übereinstimmen, wie Du ihn auch in TB benutzt, um den Server zu erreichen.

    Ja, aber das hat mir niemand beantwortet. Ist das imap.example.com? Oder example.com? Und muss dann smtp auch drin stehen? Gibt es sonstige Subdomains, die ich einfügen sollte?


    Ich habe alle Zertifikate importiert und allen das Vertrauen ausgesprochen. Wie gesagt funktioniert es als SSL-Zertifikat auf der Webseite (mit allen Browsern, die ich da habe: IE, Opera, Firefox) selbst hervorragend. Am Pfad kann es also nicht liegen.



    Zu den selbst-signierten Zertifikaten: Das bringt mir nichts als SSL-Zertifikat, weil das kein Browser überprüfen kann. Ich will das Zertifikat auch nicht zum Signieren/Verschlüsseln benutzen (da bräuchte ich ja S-MIME und kein SSL), sondern zur Authentifizierung des Servers. Bezüglich Sicherheitsproblem habe ich serverseitig halt eingestellt, dass die Authentifizierung nur per SSL geschehen darf. Das muss ich jetzt also rausnehmen. Und es geht ja eigentlich auch primär darum zu verstehen, was Thunderbird für ein Problem hat und nur im Hintergrund um die Mails selbst.


    Lg

  • Ist das imap.example.com? Oder example.com?

    Ich schrieb doch schon: So wie dein Host heißt, also genau der Servername, den Du in TB einstellst. Vermutlich bedeutet das, mit imap als Subdomain. Aber das kannst nur Du wissen. Die Frage können wir Dir nicht beantworten. Woher sollen wir denn wissen, ob der Host bei Dir nicht mail.irgendwas.de heißt oder bella.riba.es?


    Und muss dann smtp auch drin stehen?

    Hast Du einen eigenen SMTP? Vermutlich nicht, denn Du würdest wohl keine Freude damit haben, weil die großen Provider auf ihren MTAs die E-Mails von Deinem SMTP ablehnen werden.
    Wenn Du hingegen einen SMTP eines Providers verwendest, dann hat der natürlich nichts in dem Zertifikat des IMAP-Servers zu suchen.


    Gibt es sonstige Subdomains, die ich einfügen sollte?

    Für den IMAP-Server brauchst Du keine weiteren Subdomains außer der oben genannten.


    Wie gesagt funktioniert es als SSL-Zertifikat auf der Webseite (mit allen Browsern, die ich da habe: IE, Opera, Firefox) selbst hervorragend.

    Das besagt noch lange nicht, dass dieses Zertifikat auf dazu benutzt werden darf, E-Mail-Anwender zu identifizieren. Das sind zwei Paar Schuh. Auch das hatte ich oben bereits mehrfach geschrieben, weil ich so meine Zweifel hatte, ob Du das verstanden hast. Da Du den zugehörigen Dialog im TB scheinbar noch gar nicht gesehen hast, sagt mir das, dass Du das Vertrauen wahrscheinlich immer noch nicht korrekt ausgesprochen hast. Das hättest Du Dir besser mal genauer anschauen sollen, anstatt zu meckern:

    Ihr gebt mir nur immer dieselben Tipps (Zertifizierungspfad), von denen ich gesagt habe, dass ich sie ausschließen konnte:

    Das stimmt ohnehin nicht, denn Thunder hat Dir noch weitere Tipps gegeben. Unter anderem den, eine Ausnahme hinzuzufügen.


    Zu den selbst-signierten Zertifikaten: Das bringt mir nichts als SSL-Zertifikat, weil das kein Browser überprüfen kann. Ich will das Zertifikat auch nicht zum Signieren/Verschlüsseln benutzen (da bräuchte ich ja S-MIME und kein SSL), sondern zur Authentifizierung des Servers.

    Du kannst Dir selbstverständlich auch ein Zertifikat für den verschlüsselten Zugang zum Mailserver erstellen. Ich hatte die Tools ja nicht aus Spaß genannt. Benutze eine Suchmaschine Deines Vertrauens, dann findest Du Anleitungen z.B. für den Dovecot oder ganz allgemein zu OpenSSL.


    Bezüglich Sicherheitsproblem habe ich serverseitig halt eingestellt, dass die Authentifizierung nur per SSL geschehen darf. Das muss ich jetzt also rausnehmen.


    Nein, dass musst Du nicht. Du kannst doch einfach im TB die Ausnahme hinzufügen. Dass damit kein zusätzliches Sicherheitsrisiko verbunden ist, hatte ich oben bereits erklärt. Ich dachte auch, das hättest Du längst getan. Denn Du hattest doch selbst geschrieben:


    bis dahin werde ich wohl die Ausnahmeregel nehmen.

    Vorausgesetzt, dass die Zertifikate bis auf auf Domain-Namen korrekt sind, musst Du dann überhaupt nichts mehr tun. Du musst kein neues Zertifikat kaufen, Du brauchst Dir auch keines zu erstellen, Du musst Dir auch keine Gedanken über die Domain mehr machen. Deshalb verstehe ich auch nach wie vor nicht, wo überhaupt Dein Problem ist? Ich habe wirklich Schwierigkeiten, Dir zu folgen. Und ehrlich gesagt mag ich auch nicht mehr. Das zieht sich wie ein roter Faden durch Deine Antworten, macht alles sehr zach und droht, eine never ending story zu werden.
    Ich würde Dir raten, es mit der Ausnahme zu versuchen und lass es dann gut sein zu lassen.