OCSP war eine gute Idee, war aber scheinbar nicht die Ursache. Danke für den Tip.
Ich habe zum Zugriff auf den Mail-Server mal KMail eingerichtet, und der hat kein Problem nachdem ich die CA ins KDE Systemrepository importiert hatte. Da OpenSSL auch kein Problem hat, dürfte die Problematik bei icedove liegen.
Mal eben ein anderes Zertifikat mit anderer CA zu generieren ist nicht so leicht, da z.B. der Mailserver wieder per SSL auf LDAP unter derselben CA zugreift.
Sorry, das mit den Konjunktiven war nicht gegen Dich gemünzt. Es ist eher die Zusammenfassung von bald 40 Jahren intensiver, praktischer Computererfahrung.
Bug für icedove: #819747
Tja, immer diese Konjunktive. Ich habe das ganze mal als Bug registriert.
Ja, die Root-CA ist self-signed.
Die Root-CA ist bekannt. Sie wird in der Detailansicht des Server-Zertifikats auch dargestellt. Das sollte bedeuten, dass sie auch als CA des Zertifikats erkannt wird, hoffe ich.
Ich verwende seit vielen Jahren icedove (38.7.0) unter Debian Linux um per IMAP auf meinen eigenen Cyrus Mail-Server zuzugreifen. Nach Ablauf des Server-Zertifikats habe ich dieses erneuert. Im selben zeitlichen Kontext sind aber auch die Clients aktualisiert worden.
Nun hängt icedove beim Verbindungsversuch mit der Meldung "foo@bar.baz: Überprüfe den Funktionsumfang des Servers ...". Schalte ich TLS aus, klappt alles wie gewohnt.
Ich habe den Verbindungsversuch mit Wireshark mitgeschnitten. Client Hello und Server Hello inklusive Zertifikatsanforderung sind unauffällig. Allerdings antwortet icedove mit einem Fatal Alert: Bad Certificate. (0x022a) Dem Anwender wird wie gesagt keine Meldung angezeigt.
openssl s_client -starttls imap -crlf -connect 'imap.example.com:143' -CAfile /etc/certs/cacert.pem baut die Verbindung anstandslos ohne irgendwelche Warnungen auf. cacert.pem habe ich natürlich in den Zertifikatsspeicher importiert.
Als weiteren Versuch habe ich das Server-Zertifikat ebenfalls importiert. Auch das ging ohne Probleme und ich kann mir im Zertifikat-Manager die Details beider Zertifikate (CA, Server) ansehen. Es gibt auch keine augenfälligen Abweichungen zu den Zertifikatsinhalten.
Als Signaturalgorithmus wird PKCS #1 SHA-256 With RSA Encryption verwendet. Schlüssellänge ist 2048 Bit.
Gibt es eine Möglichkeit mehr Details zur Zertifikatsprüfung zu bekommen? Oder ist irgendwo dokumentiert, was genau geprüft wird?
