Discussion:
Zertifikat von Freenet und Mail.app
(zu alt für eine Antwort)
Guido Mocken
2004-11-30 09:10:22 UTC
Permalink
Benutzt irgendwer den freemail-account von Freenet und hat es geschafft,
deren Zertifikat so in den Schlüsselbund zu importieren, daß Apple
Mail.app aufhört, sich über das Zertifikat zu beschweren?

(ich weiß, wie das prinzipiell geht, bei anderen accounts geht's, nur
speziell mit freenet klappt irgendwas nicht)

Guido
Noses
2004-11-30 12:39:08 UTC
Permalink
Post by Guido Mocken
Benutzt irgendwer den freemail-account von Freenet und hat es geschafft,
deren Zertifikat so in den Schlüsselbund zu importieren, daß Apple
Mail.app aufhört, sich über das Zertifikat zu beschweren?
Ja. Gib mal einen Link auf das Zertifikat, dann sehe ich mir es nochmal an.
Aber ich wette, es will einfach nur zu den Ankern UND zu Dir (wahrscheinlich
will es Dir einen Anker ans Bein binden und Dich zu einem Ausflug auf den
Bodensee überreden - die Biester sind anhänglich).


Noses.
Guido Mocken
2004-11-30 13:43:22 UTC
Permalink
Post by Noses
Ja. Gib mal einen Link auf das Zertifikat, dann sehe ich mir es nochmal an.
Hab leider keinen, ich kriege es auch nur direkt von Apple Mail.
Post by Noses
Aber ich wette, es will einfach nur zu den Ankern UND zu Dir (wahrscheinlich
will es Dir einen Anker ans Bein binden und Dich zu einem Ausflug auf den
Bodensee überreden - die Biester sind anhänglich).
Hier
<http://www.mactechnews.de/index.php?function=17&thread=18829&cat=2&answ
ers=17> wurde die Vermutung geäußert, daß ein übergeordnetes Zertifikat
abgelaufen sei.

Ließe sich das irgendwie beheben?

Guido
Noses
2004-11-30 16:07:29 UTC
Permalink
Post by Guido Mocken
Ließe sich das irgendwie beheben?
Nein. Dann muß man leiden.


Noses.
Guido Mocken
2004-11-30 23:00:51 UTC
Permalink
Post by Noses
Nein. Dann muß man leiden.
Kann man zumindest auf einfache Weise verifizieren?
Der Schlüsselbund zeigt nur an, daß "mx.freenet.de" vom TC TrustCenter
ausgestellt wurde. Die insgesamt neun Zertifikate von denen im
X509Anchors scheinen gültig zu sein. Hm?

Guido
Noses
2004-12-01 18:01:48 UTC
Permalink
Post by Guido Mocken
Post by Noses
Nein. Dann muß man leiden.
Kann man zumindest auf einfache Weise verifizieren?
Ich könnte es Dir sagen, wenn man irgendwo dieses verdammte Zertifikat
einfach bekommen könnte. Aber ich habe keine Lust, mich danach auf die Jagd
zu machen - die Existenz von Freenet ist schon schlimm genug.
Post by Guido Mocken
Der Schlüsselbund zeigt nur an, daß "mx.freenet.de" vom TC TrustCenter
ausgestellt wurde. Die insgesamt neun Zertifikate von denen im
X509Anchors scheinen gültig zu sein. Hm?
Dann ist da echt nicht mehr viel zu machen.


Noses.
Marco Reichwald
2004-12-01 19:28:37 UTC
Permalink
Post by Noses
Ich könnte es Dir sagen, wenn man irgendwo dieses verdammte Zertifikat
einfach bekommen könnte.
z.B. mit openssl s_client -connect mx.freenet.de:pop3s

abgelaufen scheint es nicht, aber ich glaube das "TC TrustCenter Class 2
CA" Zertifikt ist nicht standardmässig installiert.
Deswegen find ich das kostenlose eMail Zertifikat von trustcenter.de auch
ziemlich witzlos. Oder habe ich da was übersehen?

Das Ding gibts aber hier:
http://www.trustcenter.de/certservices/cacerts/de/de.htm

Marco
Guido Mocken
2004-12-02 08:59:30 UTC
Permalink
Post by Marco Reichwald
abgelaufen scheint es nicht, aber ich glaube das "TC TrustCenter Class 2
CA" Zertifikt ist nicht standardmässig installiert.
Das habe ich aber in meinen X509Anchors, und trotzdem der Freenet-Ärger.
Post by Marco Reichwald
das kostenlose eMail Zertifikat von trustcenter.de
Das hingegen funktioniert bei mir.
Post by Marco Reichwald
ziemlich witzlos
Inwiefern? Die Sicherheit?

Guido
Marco Reichwald
2004-12-02 15:12:06 UTC
Permalink
Post by Guido Mocken
Post by Marco Reichwald
das kostenlose eMail Zertifikat von trustcenter.de
Das hingegen funktioniert bei mir.
Post by Marco Reichwald
ziemlich witzlos
Inwiefern? Die Sicherheit?
Hm, ich meine bei mir hätte er immer genörgelt, dass er deren CA
Zertifikat nicht hat. Wahrscheinlich habe ich mich dann aber nur vertan.
Das Ding von thawte.com ging dagegen ohne Probleme, deswegen hatte ich
das nicht weiter verfolgt.

Hast Du denn in den Einstellungen mx.freenet.de oder imap.freenet.de?

Marco
Guido Mocken
2004-12-02 17:48:51 UTC
Permalink
Post by Marco Reichwald
Post by Guido Mocken
Post by Marco Reichwald
das kostenlose eMail Zertifikat von trustcenter.de
Das hingegen funktioniert bei mir.
Post by Marco Reichwald
ziemlich witzlos
Inwiefern? Die Sicherheit?
Hm, ich meine bei mir hätte er immer genörgelt, dass er deren CA
Zertifikat nicht hat.
Kann schon sein, daß ich das damals von Hand ergänzt habe.
Post by Marco Reichwald
Wahrscheinlich habe ich mich dann aber nur vertan.
Das Ding von thawte.com ging dagegen ohne Probleme, deswegen hatte ich
das nicht weiter verfolgt.
Wenn man deren Zertifikat erst runterladen und installieren muß, und
dann von denen auch seine Schlüssel bezieht - hat man dann eigentlich
irgendeine Gewähr, daß man all dies überhaupt tatsächlich von
"trustcenter.de" bezogen hat, und nicht von irgendeinem
man-in-the-middle?
Post by Marco Reichwald
Hast Du denn in den Einstellungen mx.freenet.de oder imap.freenet.de?
Ersteres. Ergibt das einen Unterschied für die Prüfung? Es ist ja
derselbe Server, nur ein anderer Name.

Guido
Noses
2004-12-02 22:13:35 UTC
Permalink
Post by Guido Mocken
Wenn man deren Zertifikat erst runterladen und installieren muß, und
dann von denen auch seine Schlüssel bezieht - hat man dann eigentlich
irgendeine Gewähr, daß man all dies überhaupt tatsächlich von
"trustcenter.de" bezogen hat, und nicht von irgendeinem
man-in-the-middle?
Wenn man es nachprüft, ja. Aber das ist eine FAQ, die Du bei trustcenter.de
nachlesen kannst.
Post by Guido Mocken
Post by Marco Reichwald
Hast Du denn in den Einstellungen mx.freenet.de oder imap.freenet.de?
Ersteres. Ergibt das einen Unterschied für die Prüfung? Es ist ja
derselbe Server, nur ein anderer Name.
*argl* Im Zertifikat steht der Name...


Noses.
Guido Mocken
2004-12-03 09:06:47 UTC
Permalink
Post by Noses
*argl* Im Zertifikat steht der Name...
Da könnte Apples Mail auch mal mit einer sinnvolleren Fehlermeldung
antanzen, anstatt:

"Mail konnte die Identität dieses Servers (-welcher ist gemeint?-), der
ein Zertifikat für mx.freenet.de ausgestellt hat, nicht überprüfen. Das
Zertifikat für den Server ist ungültig. Möglicherweise sind Sie mit
einem Computer verbunden, der vorgibt imap.freenet.de zu sein ...."


Ich habe natürlich die Servernamen nach Freenets Angaben eingetragen,
also mx für outgoing, imap für incoming. Erst viel später mal zufällig
bemerkt, daß das alles eigentlich dieselben sind - und dann wieder
vergessen, bis jetzt Marco nachgefragt hatte. Weshalb ich auch im
Zusammenhang mit den Zertifikaten nicht auf die Idee gekommen bin, den
IMAP Server zu ändern - schließlich ging der ja.

Guido
Noses
2004-12-03 13:34:42 UTC
Permalink
Post by Guido Mocken
Da könnte Apples Mail auch mal mit einer sinnvolleren Fehlermeldung
"Mail konnte die Identität dieses Servers (-welcher ist gemeint?-),
Woher soll Mail.app wissen, welcher es ist? Das Zertifikat stimmt ja nicht.
Post by Guido Mocken
der
ein Zertifikat für mx.freenet.de ausgestellt hat, nicht überprüfen. Das
^^^^^^^^^^^^^
Post by Guido Mocken
Zertifikat für den Server ist ungültig. Möglicherweise sind Sie mit
einem Computer verbunden, der vorgibt imap.freenet.de zu sein ...."
^^^^^^^^^^^^^^^

Sorry, aber was ist DARAN denn noch unklar?


Noses.
Guido Mocken
2004-12-03 14:31:52 UTC
Permalink
Post by Noses
Post by Guido Mocken
"Mail konnte die Identität dieses Servers (-welcher ist gemeint?-),
Woher soll Mail.app wissen, welcher es ist? Das Zertifikat stimmt ja nicht.
Es würde ja reichen, wenn es da hinschriebe:
"Mail konnte die Identität dieses Servers (angeblich "imap.freenet.de"),
der ein Zertifikat für "mx.freenet.de" ausgestellt hat, nicht
überprüfen."
Post by Noses
Sorry, aber was ist DARAN denn noch unklar?
Wenn man mit Zertifikaten nicht täglich zu tun hat, ist da gar nichts
klar dran: Ich *weiß* (nicht 100%ig, aber sehr wahrscheinlich), daß ich
mit dem richtigen Server verbunden bin (nämlich imap.freenet.de),
einfach deshalb weil ich dort meine Mails liegen sehe. Also ist Mail's
zweite Meldung, es könnte der falsche sein, erstmal abzuhaken.

Und den ersten Satz lese ich eher so, daß es die Identität von
trustcenter oder wer auch immer das Zertifikat "ausgestellt" hat
(gemeint ist hier wohl eher: an Mail übermittelt. Mag ja sein das
"ausstellen" der übliche/offizielle deutsche Begriff in diesem
Zusammenhang ist - intuitiv verständlich ist er IMHO nicht.), nicht
prüfen kann.

Egal, hauptsache jetzt geht es. Und wer dengleichen Irrtümern
aufgesessen ist, wird sich vielleicht freuen, diesen Thread mit der
Lösung zu ergoogeln, anstatt sich mit der freenet-Hotline rumzuärgern.

Danke an alle für die Mühe.

Guido

Marco Reichwald
2004-12-02 22:38:04 UTC
Permalink
Post by Guido Mocken
Post by Marco Reichwald
Hast Du denn in den Einstellungen mx.freenet.de oder imap.freenet.de?
Ersteres. Ergibt das einen Unterschied für die Prüfung? Es ist ja
derselbe Server, nur ein anderer Name.
Ja, das Zertifikat ist auf mx.freenet.de ausgestellt. Spricht man den
Server mit einem anderen Namen an, meckert Mail.app natürlich.

Komisch, scheint eigentlich alles zu stimmen. Bei mir meckert Mail.app
übrigens nicht.

Marco
Guido Mocken
2004-12-03 09:06:47 UTC
Permalink
Post by Marco Reichwald
Ja, das Zertifikat ist auf mx.freenet.de ausgestellt. Spricht man den
Server mit einem anderen Namen an, meckert Mail.app natürlich.
Es könnte aber etwas weniger kryptisch meckern - siehe anderes Posting.
Post by Marco Reichwald
Komisch, scheint eigentlich alles zu stimmen. Bei mir meckert Mail.app
übrigens nicht.
Jetzt geht's bei mir auch, na endlich!

Guido
Loading...