• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst]Zertifikat ungültig

/dev/null

Moderator
Teammitglied
Hallo amonalex,

du möchtest die Verbindung zwischen deinem eigenen Client und dem smtp-Server deines Providers durch SSL-Verschlüsselung vor unbefugtem Mitlesen schützen. Und das ist auch gut so ... .

Der Server deines Providers weist sich mit einem bis 2014 gültigen Server-Zertifikat aus. Auch das ist völlig in Ordnung.
Die von dir gepostete Fehlermeldung sagt aber, dass dem Herausgeber (der dieses Zertifikat unterschrieben hat) nicht vertraut wird. Dafür kann es mehrere Ursachen geben:
  1. Das Herausgeberzertifikat ist nicht für diesen Zeitraum gültig. Das wird aber bei einem seriösen Trustcenter nie passieren, wie schließen es also aus.
  2. Das Serverzertifikat wurde von einem Trustcenter herausgegeben, welches danach als nicht mehr vertrauenswürdig eingestuft wurde. In den letzten Monaten gab es da einige derartige Fälle, wo Trustcentern wegen aufgetretenen Schlampereien das Vertrauen entzogen wurde. Damit gelten auch alle von diesem TC herausgegebenen Zertifikate automatisch als nicht vertrauenswürdig. Leider hast du den zweiten "Reiter" ("Ausgestellt durch") nicht mit gepostet, so dass ich dazu nichts sagen kann.
  3. Es kann natürlich auch sein, dass dein Mailprovider "aus Kostengründen" das Zertifikat für die SSL-Verschlüsselung nicht von einem etablierten (und somit in fast allen Browsern und Mailclients von vorn herein integrierten) Herausgeber gegen entsprechende Löhnung gekauft, sondern selbst erzeugt hat ("self-signet Zertifikat"). Derartige Zertifikate gelten, da das Herausgeberzertifikat nicht vorhanden und somit nicht überprüfbar ist, automatisch als nicht vertrauenswürdig. Was aber nicht unbedingt gleich "schlecht" ist.

Was tun?
  1. Auf die SSL-Verschlüsselung der Verbindung verzichten. Das ist die schnellste, aber nicht unbedingt die beste Lösung. Die angewandte Verschlüsselung sichert ja eh nur die Verbindung zwischen deinem Client und dem Server ab. Beim Provider liegt die Mail wieder unverschlüsselt vor. Und wie dieser es weitersendet, und wie der Empfänger abholt, kannst du weder wissen noch beeinflussen. Es handelt sich ja hier um keine "end-to-end-Verschlüsselung"!
  2. Nachschauen, wer dieses Zertifikat herausgegeben (signiert) hat. Oder uns den Inhalt des zweiten Reiters posten.
    Handelt es sich um "DigiNotar" oder "Commodo", ist zumindest Vorsicht angesagt. Handelt es sich um ein "selbstgebasteltes" Zertifikat deines Mailproviders, dann sollte dieser das Herausgeberzertifikat samt Fingerprint auf seiner offiziellen Homepage anbieten. Ein seriöser Provider macht das so! Dann kannst du das Herausgeberzertifikat herunterladen und importieren. Ein Vergleich des im Zertifikat angezeigten Fingerprint mit dem auf der Webseite gezeigten beweist, dass es sich tatsächlich um das Herausgeberzertifikat des Providers handelt. Wenn das alles stimmt, dann ist die Verschlüsselung mit einem derartigen Zertifikat genau so sicher, wie bei einem "gekauften". Und du kannst auch sicher sein, dass sich dein Client mit dem richtigen Server verbindet und dort seine (deine) Mails abliefert. Denn diese beiden Funktionen (Vertraulichkeit und Authentizität) werden mit der SSL-Verschlüsselung erreicht.

OK?

MfG Peter
 

luwa

Member
Überprüfe auch Zeit und Datum an Deinem Rechner. Die Kiste von meinem Sohn stand letztens auf Dez. 2003. Da die verwendeten Zertifikate aber aktueller sind wurden diese angemeckert.
 

/dev/null

Moderator
Teammitglied
Ich denke mal, dass die im geposteten Bild des TE dort angezeigte Uhrzeit und das Datum nicht nachträglich per Gimp verändert wurden ;-)
(So hat der Komplett-Screenshot wenigstens einen Sinn gehabt.)

MfG Peter
 

/dev/null

Moderator
Teammitglied
Hallo amonalex,

Also GeoTrust gilt als ein etabliertes Trustcenter und ist in so ziemlich allen Browsern, Mailclients und auch Zertifikatsspeichern der Betriebssysteme "von Hause aus" integriert. (Damit nutzt dein Provider auch keine "Kostnix-Zertifikate")
Dieses "von Hause aus integriert" bedeutet nichts anderes, als dass der Herausgeber der Programme/Betriebssysteme dem Nutzer abnimmt, die Zuverlässigkeit der Zertifikatsherausgeber zu prüfen, was ONU ja eh nicht macht/machen kann.

Das Herausgeberzertifikat ist frisch erneuert worden. Das ist gut so, denn Zertifikate und kryptologische Schlüssel sollte man regelmäßig erneuern. Diese Erneuerung erfolgte in diesem Fall am 12.12.2011.
Das "alternative Betriebssystem" und auch die Mozilla-Produkte bringen regelmäßig Updates mit neuen Zertifikaten und entfernen damit auch gleich die evtl. "verbrannten". Jetzt weiß ich gar nicht, wie das bei openSUSE ist. Mir ist noch kein Update der Stammzertifikate aufgefallen ... .

=> Schau im Zertifikatsspeicher (Kmail wird wohl den systemweiten Zertifikatsspeicher "Kleopatra" nutzen), ob das im Screenshot gezeigte Zertifikat dort aufgenommen ist. Überprüfe exakt Gültigkeitszeitraum, Seriennummer und einen Hashwert.
Ich habe nachgesehen, bei mir ist dieses Zertifikat NICHT drin (ich nutze aber die eigenen Zertifikatsspeicher von Thunderbird und Firefox, da sind sie drin).
=> Hole dir von der Webseite von GeoTrust das aktuelle (und richtige!) Zertifikat oder einfach gleich alle und installiere diese. Sprich ihnen dann das Vertrauen aus, und es müsste jetzt funktionieren.


MfG Peter
 
OP
dietterle65

dietterle65

Hacker
Danke für die ausführlichen Erläuterungen, ich hätte nicht gedacht, was hinter dem abholen von Mails noch so abläuft!

mfg
amonalex
 
Oben