SSL-Problem wegen Anti-Viren-Software - wie Zertifikat nach TB importieren?

  • Hallo,

    ich verwende TB Home 6.7.2 unter Windows 7 Prof. 64-bit und als Anti-Viren-Software G-Data AntiVirus. Meine IMAP-Mailboxen frage ich über eine sichere Verbindung (TLS) ab.

    Seit dem Update auf AntiVirus 2015 gibt es ein Problem bei der Mailbox-Abfrage, wobei mir TB folgendes meldet:

    "The server didn't provide a root certificate during the session, and there is no corresponding root certificate in your address book".

    Dieses Problem tritt nur dann auf, wenn in der Anti-Viren-Software die Option "SSL-Verbindung prüfen" aktiviert ist.

    Ohne diese Option sieht das Log in TB wie folgt aus:

    IMAP - Connecting to IMAP server imap.1und1.de on port 993
    IMAP - Initiating TLS handshake
    IMAP - Certificate S/N: 923EB2E90D62C760, algorithm: RSA (2048 bits), issued from 1/29/2014 9:55:30 AM to 2/3/2017 11:59:59 PM, for 1 host(s): imap.1und1.de.
    IMAP - Owner: "DE", "1&1 Internet AG", "Rhineland-Palatinate", "Montabaur", "server-certs@1und1.de", "imap.1und1.de".
    IMAP - Issuer: "DE", "T-Systems International GmbH", "T-Systems Trust Center", "NRW", "57250", "Netphen", "Untere Industriestr. 20", "TeleSec ServerPass DE-1".
    IMAP - Root: "DE", "Deutsche Telekom AG", "T-TeleSec Trust Center", "Deutsche Telekom Root CA 2"
    IMAP - TLS handshake complete

    ... und mit SSL-Prüfung so:

    IMAP - Connecting to IMAP server imap.1und1.de on port 993
    IMAP - Initiating TLS handshake
    IMAP - Certificate S/N: 7B2E432E0A68A010, algorithm: RSA (1024 bits), issued from 12/10/2014 4:40:10 PM to 12/7/2024 4:40:10 PM, for 1 host(s): imap.1und1.de.
    IMAP - Owner: "DE", "1&1 Internet AG", "Rhineland-Palatinate", "Montabaur", "server-certs@1und1.de", "imap.1und1.de".
    IMAP - Issuer: "DE", "NRW", "Bochum", "G Data Software AG", "Generated by G Data Security Software for SSL scanning", "G Data Mail Scanner Root".
    IMAP - TLS handshake failure. Invalid server certificate (The issuer of this certificate chain was not found).

    G-Data gibt dazu folgenden Lösungsvorschlag:

    - Öffnen Sie die G DATA Software und wechseln Sie zu "E-Mail Prüfung" > "Weitere Einstellungen"

    - Unter "verschlüsselte Verbindungen (SSL)" verwenden Sie bitte die Funktion "Zertifikat exportieren..." um das Zertifikat zu speichern.

    - Importieren Sie dieses in Folge in den Stammzertifikatsspeicher Ihres E-Mail Programms

    - Geben Sie dem Zertifikat die Berechtigung sowohl Webseiten, als auch Mail Benutzer und Software-Hersteller zu identifizieren, sollte dies abgefragt werden

    Das Zertifikat habe ich aus der Anti-Viren-Software exportiert - aber wie importiere, bzw. installiere ich es in TB?

    Gruß,
    Andreas

  • Von 2048bit auf 1024bit. Dir ist schon klar, dass du mit GData dann die Sicherheit für die Verschlüsselung der SSL-Verbindung verringerst!


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • 1. Du öffnest das Adressbuch
    2. Menü Ansicht -> Zertifikatsdatenbanken
    3. Wähle links Trusted Root CA
    4. Im rechten fenster Neue Adresse...
    5. Bei Nachname schreibst du GDATA Virenscanner rein
    6. Dann wählst du den Reiter Zertifikate
    7. Button Zertifikat-Import...
    8. WÄhle die Zertifikatsddatei aus
    9. bestätige OK

    Starte The Bat neu


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Von 2048bit auf 1024bit. Dir ist schon klar, dass du mit GData dann die Sicherheit für die Verschlüsselung der SSL-Verbindung verringerst!

    ... nein, war mir bisher nicht klar - aber danke für den Hinweis - wer genau liest, ist klar im Vorteil ;)

    Was würdest du in dem Fall raten - lieber die SSL-Prüfung in AntiVirus abschalten? Scheint mir eine Güterabwägung zwischen der Sicherheit der Verschlüsselung und dem Erkennen potenzieller "Schädlinge" zu sein ...

    Einmal editiert, zuletzt von avoelp (11. Dezember 2014 um 09:51)

  • 1024bit-RSA-Schlüssel bei Zertifikaten waren schon 2007 nicht mehr sicher.
    Es ist deine Entscheidung, ob du deine Logins unsicher an Mailserver versendest.

    Ich lasse keine meiner Mail-Verbindungen von Virenprogrammen bei SSL scannen. Wozu habe ich einen eigenen sicheren Mailserver mit einem guten TLS-Protokoll, um dann durch einen Virenscanner das aufzuknacken.


    Inwiefern soll den dein Virenscanner beim Scan des Mails beim Empfang mehr Sicherheit bringen? Was erwartest du dir? Wenn du einen Anhang öffnest/speicherst, schlägt doch sowieso dann der Hintergrundvirenscanner an, wenn was faul ist. Und wenn du die HTML-Anzeige des Systems (also einen Teil des Internet Explorers) verwendest, bekommst du sowieso Sicherheitsprobleme, wenn dort Aktive Inhalte nicht verboten sind.

    Anntivirenprogrammhersteller leben von der Angst und Unwissenheit der Nutzer und suggerieren ihnen mit "Scan-Features" vermeintlich mehr Sicherheit.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (11. Dezember 2014 um 10:50)

  • ... die Sache mit den Mailanhängen sehe ich genauso - und die Sache mit der "Angstmache" der Virensoftware-Hersteller auch. Am Ende hilft meistens ein bisschen gesunder Menschenverstand (und HTML ist bei mir natürlich sowieso ausgeschaltet ;) ).

    G-Data hat mir zu dem Problem übrigens zwischenzeitlich folgendes geschrieben:

    "Die Verbindung von und zu Ihrem E-Mail Server findet mit den maximal von Ihrem E-Mail-Server unterstützten SSL-Verschlüsselungmethoden statt, im Fall von GMAIL ist dies beispielsweise eine 2048-bit Verschlüsselung. Entschlüsselt wird dies lediglich lokal auf Ihrem PC zum Zweck der E-Mail Prüfung und in Folge auch nur lokal auf Ihrem PC mit der 1024-bit Verschlüsselung wieder verschlüsselt an den E-Mail Client weitergegeben. Die Verschlüsselung, welche Sie gesehen haben wir in dieser Version nur lokal auf Ihrem PC verwendet. Wir verwenden hier keinen sichereren Schlüssel, da die Verschlüsselung sonst die gesamte Prüfung inperformanter für den Endbenutzer macht. Ein Sicherheitsproblem sehen wir jedoch nicht, da diese 1024-bit Verschlüsselung niemals nach aussen verwendet wird."

  • Wenn GDATA ausgeschaltet ist, wird 2048bit bei 1und1 verwendet, mit GDATA nur 1024bit RSA. Der Hinweis, darauf, dass der Server .... blah, blah. Und wir verwenden keinen sicheren Schlüssel, weil ... performanter.
    Ach nee. Wozu dann die "verschlüsselung" wenn der Schlüssel eh nicht sicher verwendet wird?
    Und klar, nach Außen. Wenn eine SSL-Verbindung für Mail aufgebaut wird, ist das nach Außen ins Internet.
    Was für ein mieser Support-Fertigschnippsel.

    Bei so einer Antwort würde ich denken, das Programm hat Lücken oder der Support verdreht Tatsachen.
    In jedem Fall würde ich diese unsichere Prüfung abstellen oder das Programm in die Windows-Tonne.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (17. Dezember 2014 um 17:59)

  • Wenn eine SSL-Verbindung für Mail aufgebaut wird, ist das nach Außen ins Internet.

    Die GData-Ausführungen kamen mir auch suspekt vor, denn die Zeilen aus dem Protokoll:

    Code
    IMAP - Connecting to IMAP server imap.1und1.de on port 993
    [...]
    IMAP - Certificate S/N: 7B2E432E0A68A010, algorithm: RSA (1024 bits), issued from 12/10/2014 4:40:10 PM to 12/7/2024 4:40:10 PM, for 1 host(s): imap.1und1.de.

    deuten doch darauf hin, dass gerade mit dem IMAP-Server und damit im Internet und nicht nur lokal eine Verbindung mithilfe des 1024-Bit-Zertifikats hergestellt wird.

    Einmal editiert, zuletzt von sanyok (19. Dezember 2014 um 12:31)

  • ... denn die Zeilen aus dem Protokoll ... deutet doch darauf hin, dass gerade mit dem IMAP-Server und damit im Internet und nicht nur lokal eine Verbindung mithilfe des 1024-Bit-Zertifikats hergestellt wird.


    Genau so sieht es aus. Deshalb bleibt (a) die SSL-Prüfung abgeschaltet und (b) werde ich die Herrschaften dazu nochmal etwas detaillierter interviewen.