Lästiges Zertifikat

wosinzky

Gloster
Registriert
07.02.06
Beiträge
62
Hallo Apfeltalker :),

ich da ein Problem mit den Zertifikaten. Habe nach dem Problem schon gegoogelt und auch was dazu gefunden. Hat leider nichts geholfen.

Also ich habe folgendes: Mein E-Mail Server hat selbst ausgestellte SSL-Zertifikate. Und jedes Mal wenn ich mich zum Mail Server verbinden möchte, meckert Mail mich an. Ich kann zwar damit leben, aber lästig finde ich das schon! Wer hatte das gleiche Problem? und wie wurde es gelöst?

Thx
 

iPoe

Pomme Etrangle
Registriert
07.03.05
Beiträge
910
einfachste lösung, im zertifikationsdialog mal auf das fragezeichen klicken und lesen was apple dazu sagt ;)
zert. rausziehen, doppelklicken und in die keychain hinzufügen - beim rausziehen musst aber eine bestimmte taste drücken...

iPoe
 

wosinzky

Gloster
Registriert
07.02.06
Beiträge
62
Ohh Mann, Du hast recht! Wer lesen kann ist klar im Vorteil!
Hab das Zertifikat nach Apples Anleitung hinzugefügt. Ist aber leider abgelaufen...

Danke trotzdem
Wosinzky
 

Indigo0815

Rheinischer Winterrambour
Registriert
05.01.05
Beiträge
931
Moin, moin,

ich hatte auch dieses Problem.
Die Lösung war, in den Einstellungen von Mail zu finden.
Mail/Einstellungen/Accounts/Erweitert
In diesem Fenster müßte unten auch ein Häckchen bei
SSL verwenden sein.
Das solltest du deaktivieren.
Wenn´s nicht nicht funktioniert, bitte nochmal hier Bescheid sagen.
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
[...]
SSL verwenden sein.
Das solltest du deaktivieren.
[...]

Das ist eigentlich überhaupt keine Lösung. SSL hat schließlich einen Zweck, nämlich die Übertragenen Daten zu verschlüsseln um zB. gegen Lauschangriffe gesichert zu sein!

Der korrekte Lösungsweg wäre das Self-Signed Zertifikat am Server zu aktualisieren!
Gruß Pepi
 

Indigo0815

Rheinischer Winterrambour
Registriert
05.01.05
Beiträge
931
Das ist eigentlich überhaupt keine Lösung. SSL hat schließlich einen Zweck, nämlich die Übertragenen Daten zu verschlüsseln um zB. gegen Lauschangriffe gesichert zu sein!

Der korrekte Lösungsweg wäre das Self-Signed Zertifikat am Server zu aktualisieren!
Gruß Pepi

...war aber bei mir die Lösung.
Naja, war nur gut gemeint.
Also sorry... :innocent:
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Sagen wir mal es ist ein zeitweiliger Workaround für Notfälle. Ich unterstelle mal, daß Leute die mit SSL mit self-signed root Zertifikaten arbeiten dies tun um verschlüsseln zu können. Daher habe ich impliziert, daß die Verschlüsselung konkret erwünscht ist, woraus er messerscharf folgert, daß das Abschalten dieser Verschlüsselung nicht im Sinne des Erfinders ist.
Gruß Pepi
 

stk

Grünapfel
Registriert
05.01.04
Beiträge
7.141
Moin,

Das ist eigentlich überhaupt keine Lösung. SSL hat schließlich einen Zweck, nämlich die Übertragenen Daten zu verschlüsseln um zB. gegen Lauschangriffe gesichert zu sein!

nur um einem weitverbreiten Mißverständnis gleich den Wind zu nehmen: es wird die Verbindung zwischen Mailserver und Mailclient verschlüsselt! Nicht die Mail selbst. Sprich: im weiteren Verlauf der Zustellung kann die immer noch jeder lesen, wenn er mag. Das Mittel dagegen ist PGP nicht SSL-Verschlüsslung des Servers.

Damit in Hinterkopf erübrigt sich in vielen Fällen der Zertifikatszirkus dann, weil's nicht das ist, was eigentlich gewollt war.

Gruß Stefan
 

kasei

Gast
einfachste lösung, im zertifikationsdialog mal auf das fragezeichen klicken und lesen was apple dazu sagt ;)
zert. rausziehen, doppelklicken und in die keychain hinzufügen - beim rausziehen musst aber eine bestimmte taste drücken...

iPoe
Leider funktioniert das für mich nicht; Mail meldet, das Zertifikat sei von einer ungültigen Instanz ausgestellt worden. Leider habe ich auf das Zertifikat keinen Einfluss... kann ich die Fehlermeldung irgendwie deaktivieren?

(Für Thunderbird Mail gibt's ein entsprechendes Plugin, eventuell ja auch für Mail?)

Kasei
 

thrillseeker

Weißer Winterkalvill
Registriert
06.10.04
Beiträge
3.556
*aufwärm*

Leider funktioniert das für mich nicht; Mail meldet, das Zertifikat sei von einer ungültigen Instanz ausgestellt worden. Leider habe ich auf das Zertifikat keinen Einfluss... kann ich die Fehlermeldung irgendwie deaktivieren?

(Für Thunderbird Mail gibt's ein entsprechendes Plugin, eventuell ja auch für Mail?)

Kasei

Eigentlich dachte ich, dass die Meldung wegbleiben müsste, wenn man das Zertifikat im Schlüsselbund doppelklickt, nach unten scrollt und dort unter "Einstellungen bestätigen" die Option "Immer vertrauen" auswählt. Damit sollte Mac OS X eindeutig gesagt sein, dass... ähm... ich diesem Zertifikat eben vertrauen und in Zukunft nicht darauf hingewiesen werden will, dass es möglicherweise unsicher ist.

Aber nein, die unsinnige (und auf Dauer lästige) Meldung kommt weiterhin. Ein Klick auf das Fragezeichen neben dem oben erwähnten Punkt "Einstellungen bestätigen" bewirkt die sagenhafte Meldung "Es wurden keine passenden Hilfethemen gefunden". Jo, sammer denn hier bei Windows?? o_O
 

thrillseeker

Weißer Winterkalvill
Registriert
06.10.04
Beiträge
3.556
PS: Die vollständige, bei jedem Start von Mail wegzuklickende Meldung lautet übrigens

Verbindung konnte nicht hergestellt werden

Möglicherweise gibt es ein Problem mit dem Mail-Server oder dem Netzwerk. Prüfen Sie die Einstellungen für den Account „UNI Gießen“ oder versuchen Sie es erneut.

Folgender Server-Fehler ist aufgetreten: Dieser Server hat ein Zertifikat für „imap.hrz.uni-giessen.de“ ausgestellt. Mail konnte die Identität des Servers jedoch nicht überprüfen. Fehler:

Das root-Zertifikat für diesen Server konnte nicht überprüft werden.

Möglicherweise sind Sie mit einem Computer verbunden, der vorgibt „imap.hrz.uni-giessen.de“ zu sein, und gefährden dadurch Ihre vertraulichen Informationen. Möchten Sie trotzdem fortfahren?

Nur so, für die Forensuche :)
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Ich finde es sehr originell, daß es für Thunderbird ein Plug-In gibt welches es erlaubt ungültige Zertifikate, oder nicht überprüfbare Zertifikate immer zu akzeptieren. Irgendwie ist das nicht nur unsinnig sondern vollkommen gegen das Konzept. Eigentlich sollten die Leute Ihren SSL Setup korrigieren, anstatt inkorrekte Einstellungen immer zu akzeptieren. Da kann ich SSL ja gleich bleiben lassen... Das nur mal so nebenbei erwähnt.

Wenn zu einem Zertifikat das ausstellende Root-Zertifikat in der Kette nicht überprüft werden konnte, dann sollte man eben das entsprechende Root Zertifikat der Uni in dei X.509 Anker importieren. Dann kann das entsprechende Zertifikat nämlich überprüft werden.
Gruß Pepi
 

philz

Strauwalds neue Goldparmäne
Registriert
28.04.06
Beiträge
635
So sehe ich das aus. Wenn die Zertifikate abgelaufen sind oder falsch ausgestellt wurden, dann sollte man hier nachbessern oder gleich ganz auf SSL verzichten.

Alles andere ist sinnfrei und nur unnötiger Aufwand.
 

thrillseeker

Weißer Winterkalvill
Registriert
06.10.04
Beiträge
3.556
Wenn zu einem Zertifikat das ausstellende Root-Zertifikat in der Kette nicht überprüft werden konnte, dann sollte man eben das entsprechende Root Zertifikat der Uni in dei X.509 Anker importieren. Dann kann das entsprechende Zertifikat nämlich überprüft werden.
Gruß Pepi

Das habe ich probiert. Das Ergebnis war ein Absturz des Programms "Schlüsselbund" und eine zerschossene "Login"-Keychain :mad:

Zum Glück habe ich (aus einem unbestimmten Verdacht heraus) eine Schlüsselbund-Überprüfung mit "Schlüsselbund erste Hilfe" durchgeführt, bevor ich mich ausgeloggt habe. Ob ich mich mit dem beschädigten Schlüsselbund hätte einloggen können, ist fraglich.


Beim zweiten Versuch sollte ich das Kennwort für "X509Anchors" eingeben. Es ist weder mit meinem Login-Kennwort, noch mit dem Kennwort des root-Accounts identisch. Kann mir jemand sagen, woher ich das Kennwort für "X509Anchors" bekomme?
 

thrillseeker

Weißer Winterkalvill
Registriert
06.10.04
Beiträge
3.556
UPDATE:

ich konnte das Zertifikat - beim dritten Versuch - nun ohne Kennwort-Eingabe hinzufügen. Doch daran, dass Mail beim Start die oben zitierte Meldung ausspuckt, ändert sich nichts.

Fazit: das Rechenzentrum der Uni stellt ein Zertifikat aus, das mein Mailprogramm dazu veranlasst, mich vor dem Verbinden mit dem Server der Uni zu warnen, weil das Zertifikat unsicher ist. Sowas nenne ich "Eigentor".
 

pepi

Cellini
Registriert
03.09.05
Beiträge
8.740
Das habe ich probiert. Das Ergebnis war ein Absturz des Programms "Schlüsselbund" und eine zerschossene "Login"-Keychain :mad:

Zum Glück habe ich (aus einem unbestimmten Verdacht heraus) eine Schlüsselbund-Überprüfung mit "Schlüsselbund erste Hilfe" durchgeführt, bevor ich mich ausgeloggt habe. Ob ich mich mit dem beschädigten Schlüsselbund hätte einloggen können, ist fraglich.


Beim zweiten Versuch sollte ich das Kennwort für "X509Anchors" eingeben. Es ist weder mit meinem Login-Kennwort, noch mit dem Kennwort des root-Accounts identisch. Kann mir jemand sagen, woher ich das Kennwort für "X509Anchors" bekomme?

UPDATE:

ich konnte das Zertifikat - beim dritten Versuch - nun ohne Kennwort-Eingabe hinzufügen. Doch daran, dass Mail beim Start die oben zitierte Meldung ausspuckt, ändert sich nichts.

Fazit: das Rechenzentrum der Uni stellt ein Zertifikat aus, das mein Mailprogramm dazu veranlasst, mich vor dem Verbinden mit dem Server der Uni zu warnen, weil das Zertifikat unsicher ist. Sowas nenne ich "Eigentor".
Der X.509 Anchor gehört dem System, den kannst Du nicht mit einem Kennwort öffnen, sondern nur beim "Import" mit einem (zu sudo) berechtigenden Admin Passwort für den Import öffnen. Das ist gut so!

Ich habe mich mlglicherweise schlecht ausgedrückt, du mußt nicht das Zertifikat des Servers, sondern das Root-Zertifikat der Uni in die X.509 Anker importieren. Anhand dieses wird nämlich das vom Mailserver ausgelieferte Zertifikat überprüft. Das entsprechende Root Zertifikat der Uni müßten sie eigentlich zum Download zur Verfügung stellen.

Daß ein Zertifikat aus diesem Grund beanstandet wird, würde Dir mit jedem Zertifikat passieren, wären im System nicht schon die Root Zertifikate von vielen der kommerziellen CAs bereits installiert. Es wird also implizit angenommen, daß Du diesen Firmen vertraust.
Gruß Pepi
 
  • Like
Reaktionen: thrillseeker

thrillseeker

Weißer Winterkalvill
Registriert
06.10.04
Beiträge
3.556
Ich habe mich mlglicherweise schlecht ausgedrückt, du mußt nicht das Zertifikat des Servers, sondern das Root-Zertifikat der Uni in die X.509 Anker importieren.

Das werde ich gleich mal machen. Danke für die detaillierte Erklärung :)

Dass mich das System vor zweifelhaften Zertifikaten warnt, und dass man an den entsprechenden Keychains nicht so ohne weiteres rumschrauben kann, ist gut. Darin sind wir uns völlig einig.

UPDATE:

Jepp! Klappt! Danke, pepi :)
 

blablub7

Gast
Damit in Hinterkopf erübrigt sich in vielen Fällen der Zertifikatszirkus dann, weil's nicht das ist, was eigentlich gewollt war.

SSL sollte immer aktiviert sein. Sonst kann z.B. bei einem offenen Hotspot jeder Kennworte, Mails etc. mitlesen.