beim Start wird nach einem A1 Zertifikat verlangt

    Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:

    • Thunderbird-Version (konkrete Versionsnummer): 78.2.2
    • Wurde gerade auf eine neue Versionsreihe aktualisiert (alte und neue Version angeben): Problem trat auch schon vorher auf, jetzt ist es nur schlimmer
    • Betriebssystem + Version: Windows 10
    • Kontenart (POP / IMAP): POP
    • Postfach-Anbieter (z.B. GMX): A1-Telekom
    • Eingesetzte Antiviren-Software: Windows-Defender
    • Firewall (Betriebssystem-intern/Externe Software): Windows
    • Router-Modellbezeichnung (bei Sende-Problemen):

    Seit ca. 1 Jahr kommt beim starten von Thunderbird eine Fehlermeldung das es ein Zertifikat von A1 braucht und man soll eines auswählen.

    Dort kann ich aber nur eigene Zertifikate auswählen.

    Tu ich das wird die Verbindung zum Mail-Clienten zurückgesetzt.

    Wenn ich auf "abbrechen" gehe funktioniert alles Bestens.

    Beim nächsten starten kommt aber wieder die Frage nach dem Zertifikat.

    Seit dem letzten TB update kommt dieses Fenster allerdings in kurzen Zeitabständen wieder...

    Es gibt in Thunderbird eine Einstellung "Zertifikat selber auswählen" , verwendet man das wird auch keine Verbindung zum Mail-Server aufgebaut.

    Ich verwende ein Zertifikat um meine Mails digital zu signieren. Diese sind immer für ein Jahr gültig. Als das erste Zertifikat ausgelaufen ist, habe ich ein neues importiert, das alte gelöscht und seit damals habe ich diese Problem. Ich habe das Mail-Konto auch schon gelöscht und wieder angelegt, hat nichts gebracht.

    und ich habe auch schon den Windows-Defender deaktiviert...auch kein erfolg.

    Hier auch noch meine Mail-Einstellungen:

    Ich hoffe hier hat noch jemand eine Idee..

    Edited once, last by Merlin1966 (September 25, 2020 at 8:20 AM).

  • graba September 24, 2020 at 7:32 PM

    Approved the thread.

    Hallo Merlin,

    willkommen im Forum.

    Könntest Du vielleicht die Screenshots direkt ins Forum hochladen und einbinden. Ich für meinen Teil klicke nicht auf Hyperlinks zu einem Upload-Dienst, den ich nicht kenne und ich weiß, andere halten es auch so. Abgesehen davon können Anfragen dadurch später schwer nachvollzogen werden, wenn die Screenshots vom Upload-Dienst verschwinden.

    Gruß

    Sehvornix

    Keyboard not found. Press any key to continue.

    Edited 2 times, last by Sehvornix (September 25, 2020 at 10:37 AM).

    Quote from Sehvornix

    Hallo Merlin,

    willkommen im Forum.

    Könntest Du vielleicht die Screenshots direkt ins Forum hochladen und einbinden. Ich für meinen Teil klicke nicht auf Hyperlinks zu einem Upload-Dienst, den ich nicht kenne und ich weiß, andere halten es auch so. Abgesehen davon können Anfragen dadurch später schwer nachvollzogen werden, wenn die Screenshots vom Upload-Dienst verschwinden.

    Gruß

    Sehvornix

    Danke für die Info, da es automatisch passiert ist, dachte ich das gehört so. Hab sie nun direkt hochgeladen...

    Hallo Merlin,

    danke für die Einbindung der Screenshots.

    Zum Thema 'signieren von Nachrichten' kann ich mangels Erfahrung nicht so viel beitragen. Jedoch kann ich schon mal schreiben, dass die Maileinstellungen damit nichts zu tun haben (Dein 2. Screenshot). Der Ansatzpunkt müsste das nun integrierte OpenPGP sein (Extras > OpenPGP). Es könnte auch sein, dass das benötigte Zertifikat nicht im richtigen Zertifikatsspeicher abgelegt ist. Hinzu kommt, dass sich mit Thunderbird 78.x gerade ganz frisch erst eine Menge in diesem Bereich geändert hat und die Hilfestellung von Mozilla dies noch nicht wiedergibt. Vielleicht schaut Susi to visit hier mal rein und kann Dir da entscheidend weiterhelfen.

    In dem Zusammenhang hier auch noch ein Link zum angepinnten Beitrag Migrationshinweise zu Funktionen/Einschränkungen bei OpenPGP in TB 78.2.2.

    Gruß

    Sehvornix

    Keyboard not found. Press any key to continue.

    Sie schaut rein, aber etwas erstaunt drein ;-)

    Vielleicht vorweg, es sind mehrere Dinge auseinanderzuhalten, die hier ein wenig vermischt werden. Es gibt Zertifikate für die Kommunikation zwischen Thunderbird und dem Server via. TLS. Dann gibt es Zertifikate zum Signieren und Verschlüsseln per S/MIME. Last but not least gibt es Schlüsselpaare zum Signieren und Verschlüsseln mittels PGP.

    Normalerweise hat eines nichts mit dem anderen zu tun.

    Was mich erstaunt drein schauen lässt, das ist die in #1 gezeigte Meldung. So eine habe ich noch nicht gesehen. Hier fragt A1 nach einem Zertifikat des Benutzers. Ich kenne es nur umgekehrt, d.h. dass der Server sich beim Verbindungsaufbau gegenüber dem Thunderbird identifiziert.

    Geht es hier vielleicht um einen besonderen Account, vielleicht so etwas wie DE-Mail oder so, oder gibt es ein besonderes Log-In-Verfahren?

    Was passiert, wenn man das Konto testweise aus einem neuen Profil per IMAP abruft?

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Also das ist ein ganz normales Benutzerkonto. Ich habe auch sauf meinem Handy (Android) nicht diese Problem.

    ich hab jetzt bei euch den Beitrag von mp_45_code yahoo-imap-konto-forder-nutzer-zertifikat-an/

    gefunden und dort den Link auf das mozilla-forum -> https://bugzilla.mozilla.org/show_bug.cgi?id=947593

    Ist das das selbe Problem? :/ wenn ja muss ich wohl davon ausgehen, das dieser Bug nicht so schnell behoben wird :(

    Da bin ich aber froh, dass auch Kai Engert seine Überraschung äußert.

    Ja, der Bug-Bericht triff dein Problem. Die Frage ist, handelt es ich überhaupt um einen Bug, oder ist der Mailserver falsch konfiguriert?

    Ich kenne es so:

    Normalerweise weist sich beim Anmelden der Server mit seinem Zertifikat gegenüber dem Client aus. Das heißt der Client erhält vom Server ein Zertifikat und prüft, ob er ihm und dem Herausgeber vertraut.

    Der Client wiederum wurde zuvor anhand des Benutzernamen und des Passwort vom Server authentifiziert und autorisiert.

    Man kann den Mailserver aber auch so konfigurieren, dass er seinerseits ein Zertifikat des Clients abfragt. Nutzername und Passwort genügen dann nicht. Auf dem Client muss ein Zertifikat vorliegen, dem wiederum der Server vertraut.

    Ich weiß, dass manchen Firmen es in Verbindung mit Smartcards so handhaben. Aber davon, dass ein öffentlicher Mailprovider so etwas machen würde, habe ich noch noch nie gehört.

    Es gibt nun zwei Möglichkeiten. Entweder hat Thunderbird seit Jahren einen Bug, der dazu führt, dass er fälschlicherweise nach dem Zertifikat fragt, oder der Mailserver ist so konfiguriert, dass er die Abfrage wirklich sendet.

    Wenn man herausbekommen will, ob der Server tatsächlich nachfragt, müsste man, wie Kai Engert es vorschlägt, den Traffic einmal mitschneiden.

    Das Problem scheint sehr selten aufzutreten. Soweit ich weiß, hat hier in all den Jahren noch niemand davon berichtet, außer dir und mp_45_code . Und auch in dem Bug ist wenig los. Auffällig ist, dass einer derjenigen, die das im Bug berichtet, ebenfalls ein A1-Kunde ist. Vielleicht lohnt es sich, mit A1 Kontakt aufzunehmen.

    Denkbar wäre auch, dass es Bug im Thunderbird nur unter sehr seltenen Umständen auftritt. Zum Beispiel wenn sich in Zusammenhang mit den Zertifikaten etwas ungeahnt verwurschtelt hat. In diesem Fall sollte Test mit einem neuen Profil das Problem nicht zeigen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Also ich habe jetzt mal beide privaten Zertifikate gelöscht und sieh da, dann funktioniert es ohne das das Fenster aufpoppt.

    Danach habe ich TB mehrmals beendet und neu gestartet. alles Bestens. Danach habe ich wieder ein Zertifikat importiert und da war es wieder diese Abfrage nach einem Zertifikat.

    Da diese Problem nur mit TB passiert tippe ich wohl eher auf den eigenartigen BUG im TB....;(

    Da der Fehler nur auftritt, wenn dieses Zertifikat installiert ist, wird er wohl damit in Zusammenhang stehen. Kannst du denn damit überhaupt signieren?

    Ein Zertifikat zum Signieren wird es dann benötigt und abgefragt, wenn du eine signierte Mail senden willst. Dann erfolgt auch eine Abfrage der Passphrase. Es sieht fast so aus, als hättest du ein Zertifikat für eine SSL/TLS-Verbindung zu einem Server installiert.

    Überprüfe:

    1. Ob das Zertifikat auch zum Signieren und Verschlüssel geeignet ist und nicht (zusätzlich) für SSL/TLS
    2. Ob es auch entsprechend installiert wurde, d.h. nicht für einen Kommunikation mit einem Server
    3. Ob es noch gültig ist
    4. Ob das Ausstellerzertifikat installiert und gültig ist

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Ja funktioniert bestens, auch mit dem anderen Android-Client

    Gültig bis 2021

    Ja wird auch als gültig verifiziert

    Verwendung für : E-mail Protection, Client Authentication

    Ist das das was du meinst -> Client Authentication

    Wenn ja, kann man das im TB deaktivieren? Wenn ich ein Zertifikat in Windows importiere, kann man ja die Zwecke einschränken...geht das bei TB auch?

    Quote from Merlin1966

    Ist das das was du meinst -> Client Authentication

    Ja, das meinte ich. Ich denke, wir kommen der Sache nun näher.

    Einschränken kann man die Zertifikate im Thunderbird meines Wissens nur indirekt. Schau mal, wohin genau du es importiert hast, also ob unter meine Zertifikate, Personen oder Server. Vielleicht taucht es auch mehrfach auf.

    Probiere, es nur unter meine Zertifikate vorzuhalten.

    Wenn das nicht funktioniert, besorge oder erstellen dir selbst eines (mit xca), das nur zum Verschlüsseln und Signieren geeignet ist.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)