8.5.4 protocol error BuildClientKeyExchange

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Die Schalter sind teilweise hier drin beschrieben:
    ritlabs.com/de/products/thebat/revision-history/7122/

    OK. Danke, da muss ich bisschen probieren.

    TheBat! 8.5.4

    Wo kommt den dieses changlog her, auf der Website steht das so nicht.

    Hast du auch mal beim Ritlabs-Support auf ritlabs.com/en/support/ticket_list.php angefragt?
    Nee, noch nicht, ich bin im Moment noch viel zu planlos. Ich könnte höchstens ein "funzt net" abgeben :)
  • Quellcode

    1. > folgende TLS-Chiffren werden von mail.your-server.de zum Versenden von Mails unterstützt:
    2. > DHE-RSA-AES256-GCM-SHA384 Kx=DH Au=RSA Enc=AESGCM(256) Mac=AEAD
    3. > ECDHE-RSA-AES256-GCM-SHA384 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
    4. > DHE-RSA-AES128-GCM-SHA256 Kx=DH Au=RSA Enc=AESGCM(128) Mac=AEAD
    5. > ECDHE-RSA-AES128-GCM-SHA256 Kx=ECDH Au=RSA Enc=AESGCM(128) Mac=AEAD
    6. > DHE-RSA-AES256-SHA256 Kx=DH Au=RSA Enc=AES(256) Mac=SHA256
    7. > DHE-RSA-AES256-SHA Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
    8. > DHE-RSA-CAMELLIA256-SHA Kx=DH Au=RSA Enc=Camellia(256) Mac=SHA1
    9. > ECDHE-RSA-AES256-SHA384 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
    10. > ECDHE-RSA-AES256-SHA Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1
    11. > DHE-RSA-AES128-SHA256 Kx=DH Au=RSA Enc=AES(128) Mac=SHA256
    12. > DHE-RSA-AES128-SHA Kx=DH Au=RSA Enc=AES(128) Mac=SHA1
    13. > DHE-RSA-CAMELLIA128-SHA Kx=DH Au=RSA Enc=Camellia(128) Mac=SHA1
    14. > ECDHE-RSA-AES128-SHA256 Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA256
    15. > ECDHE-RSA-AES128-SHA Kx=ECDH Au=RSA Enc=AES(128) Mac=SHA1
    16. > AES256-SHA Kx=RSA Au=RSA Enc=AES(256) Mac=SHA1
    17. > AES128-SHA Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
    18. > TLS wird in den Versionen 1.0 - 1.2 unterstützt.
    19. > Gemeinsam unterstützte Chiffren aus Ihrer Liste wäre demnach z.B.:
    20. >> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
    21. >> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    22. >> TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    23. > D.h. gemeinsame Chiffren sind auf jedenfall vorhanden - daher könnte es sein,
    24. > dass das Problem eine andere Ursache hat.
    25. > Denkbar wäre z.B., dass das Server-Zertifikat nicht verifiziert werden kann -
    26. > allerdings wäre dann die Fehlermeldung "TLS-Protokollfehler: Interner Fehler
    27. > BuildClientKeyExchange" etwas seltsam und irreführend.
    28. > Tritt das Problem NUR beim Senden auf, oder auch beim Abrufen der Mails?
    Alles anzeigen
    to be continued…
  • Ja, und ich habe geantwortet mit der Auskunft, dass es nur beim Senden zu dem Problem kommt.

    Seine Vermutung mit dem nicht verifizierbaren Zertifikat könnte passen. Die Zeile TLS-Protokollfehler: Interner Fehler BuildClientKeyExchange ersetzt im Protokoll die Zeile TLS-Handshake vollständig

    Ich warte aber noch auf eine Antwort und würde mich dann damit bei Ritlabs vorstellen.
  • mmh, also Hetzner meint:

    einige sehr alte Betriebssysteme enthalten noch nicht das Wurzel-Zertifikat, welches bei unserem *.your-server.de Zertifikat eingesetzt wird.

    Dieses Wurzel-Zertifikat lässt sich meistens manuell im entsprechenden System importieren und dort im Trust-Store ablegen.

    Diese Zertifikat ist auch auf hetzner-status.de/#9207 einsehbar/kopierbar, im Eintrag "Update des Mailsystems".

    Bitte prüfen Sie, ob Sie das entsprechene Zertifikat im Betriebssystem oder Ihrem eMail-Client hinterlegen können.
    Das würde ja bedeuten, dass Ritlabs diese Zertifkat entfernt hat, oder?

    Kann man den die Stammzertifikate in thebat bearbeiten?
  • The Bat! entfern keine Zertifikate.
    Es ist so, dass The Bat! nicht alle Root-Zertifikate hat, nur die der größten Anbieter.
    Und es kommt darauf an ob Windows-Zertifikate verwendet werden sollen oder die von The Bat!.

    Was Hetzner meint ist das Root-Zertifikat von DigiCert Global Root G2
    Das sollte aber in der neuen The Bat! schon vorhanden sein.
    Und auch in neuen Windows 10.

    Hetzner-Zertifikatsdatei hetzner.crt.txt hier runter laden
    Umbenennen in hetzner.crt

    The Bat!
    =======
    Adressbuch aufurfen
    Ansicht → Zertifikatsdatenbanken
    'Trusted Root CA' wählen
    Neuen Kontakt
    Bei Vorname dann 'Hetzer Mail'
    Reiter Zertifikate
    Import
    Hetzner-Zerifikatsdatei hetzner.crt wählen
    OK

    oder

    Windows Zertifikatsspeicher
    ========================
    The Bat! Menü → Optionen S/MIME und TLS…
    (•) Microsoft Crypto API
    OK
    Windows-Taste
    Benutzerzertifikate eingeben
    Zertifikatsverwaltung startet
    Zweig 'Vertrauenswürdige Stammzertifikatsstellen'
    Aktion → Alle Auufgaben → Importieren
    Hetzner-Zertifikatsdatei hetzner.crt auswählen
    Dateien
    • hetzner.crt.txt

      (1,31 kB, 21 mal heruntergeladen, zuletzt: )
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von GwenDragon ()

  • Cool, Vielen Dank.

    Die Adressbücher von der 8.5.2 und der 8.5.4 bzw. 8.5.6, enthalten jeweils das "DigiCert Global Root G2" bereits.

    Über den Tab "Zertifikate", Doppelklick auf den Eintrag erscheint ein Dialog mit wiederum drei Tabs. Im Ersten ("Allgemein") steht.
    The Bat! kann dieses Zertifikat nutzen für: Nachrichten-Verschlüsselung - nein, Prüfe digitale Signatur einer Nachricht - nein, TLS-Verbindungen - nein.

    Also "TLS-Verbindungen - nein" erschien mir immerhin auffällig, also habe ich doch das Zertifikat von Hetzner importiert. Über das Adressbuch, es ist genau das gleiche wie das bereits vorhandene. Wie kann es anders sein… planloses rumgestochere… Alles in Allem also wenig weitergekommen.

    Bis eben. Noch mal alle Schalter angeschaut und festgestellt, dass ich einen noch nicht probiert hatte. /TLS_DISABLE_PERFECT_FORWARD_SECRECY hat bei mir jetzt geholfen.

    New command-line parameter "/TLS_DISABLE_PERFECT_FORWARD_SECRECY" to disable perfect forward secrecy
    Mal davon abgesehen, dass sich immer noch einige Fragezeichen (z.B. "TLS-Verbindungen - nein"?) im Orbit um mein Haupt befinden, verstehe ich das nun auch wieder nicht.

    Bei Heise (heise.de/security/artikel/Zuku…ward-Secrecy-1923800.html) kann man da was finden.

    Dort ist sind die Chiffren
    1. TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    2. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    erwähnt, die von Hetzner ebenfalls unterstützt und als Deckungsgleich mit den Sammlungen von TheBat! identifiziert hat.

    OK. Also bleibt jetzt die Frage, wieso muss man PFS abschalten wenn es doch beide unterstützen.
    Vielleicht weil die Sammlungen von oben nach unten abgearbeitet werden und das erste das trifft wird benutzt und das ist eben eine ohne PFS?

    Oh Mann, ich check das alles nicht.

    Schönen Abend noch.
    ciao, Stefan
  • The Bat! kann PFS , ich habs ja auch auf meinem selbstverwalteten Mailserver, und da sin sogar die starken Chiffere drin.
    Meine Mails haben im Header: using TLSv1.2 with cipher ECDHE-RSA-AES128-SHA256

    - - -
    Wenn das Zertifikat schon da ist, musst du nix mehr importieren.

    Das ist bei Dir ein Fall für den Ritlabs-Support, die haben wohl einen Fehler in der TLS mit Forward secrecy.
    Das mit "TLS-Verbindungen - nein" verstehe ich auch nicht. Melde das mal an Ritlabs.
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von GwenDragon ()

  • GwenDragon schrieb:

    Das mit "TLS-Verbindungen - nein" verstehe ich auch nicht
    Das habe ich raus bekommen. Das DigiCert Global Root G2 dient nur zum Signieren anderer abgeleiteter Zertifikate und verschlüsselt selbst keine Verbindung.
    Das mach ja das damit signierte Server-Zertifikat, also des Hetzner-Mailserver selbst.
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von GwenDragon ()

  • Mensch Lilo Du Tier … ähm Drachin :) Vielen Dank für Deine Hilfe.

    Ich denke jetzt muss ich mich tatsächlich an Ritlabs wenden. Denn zwischenzeitlich habe ich auch von Hetzner eine Aussage diesbezüglich erhalten. Ich erstatte Report wenn ich was Neues weiß.


    Hetzner schrieb:

    > unser Mailserver unterstützt definitiv die genannte Chiffre, dies lässt sich auch recht einfach verifizieren:

    > -----------8<-----------8<---------

    > $ openssl s_client -connect mail.your-server.de:465 -cipher ECDHE-RSA-AES256-SHA
    > CONNECTED(00000003)
    > depth=2 C = US, O = DigiCert Inc, OU = digicert.com, CN = DigiCert Global Root G2
    > verify return:1
    > depth=1 C = US, O = DigiCert Inc, OU = digicert.com, CN = RapidSSL TLS RSA CA G1
    > verify return:1
    > depth=0 CN = *.your-server.de
    > verify return:1
    > ---
    > Certificate chain
    > 0 s:/CN=*.your-server.de
    > i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL TLS RSA CA G1
    > 1 s:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=RapidSSL TLS RSA CA G1
    > i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root G2
    > ---
    > Server certificate
    > -----BEGIN CERTIFICATE-----
    > MIIFwjCCBKqgAwIBAgIQBM2igJQIEXq/kuPCfjfE1zANBgkqhkiG9w0BAQsFADBg
    > [...]
    > SSL handshake has read 3345 bytes and written 245 bytes
    > Verification: OK
    > ---
    > New, TLSv1.0, Cipher is ECDHE-RSA-AES256-SHA
    > Server public key is 2048 bit
    > Secure Renegotiation IS supported
    > Compression: NONE
    > Expansion: NONE
    > No ALPN negotiated
    > SSL-Session:
    > Protocol : TLSv1.2
    > Cipher : ECDHE-RSA-AES256-SHA
    > [...]
    > Verify return code: 0 (ok)
    > Extended master secret: yes
    > ---
    > 220 sslproxy05.your-server.de ESMTP Exim 4.89 Wed, 11 Jul 2018 17:17:19 +0200
  • Ja, dann ist bei The Bat! TLS 1.2 + Perfect Secrecy immer noch defekt.
    Du hast halt einen Bug erwischt.
    Mal sehen wie schnell dann die Behebung in einer 8.5.7 Final kommt.
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.
  • RechtsOben, das sind drei abrgeundete Buttons, den "Thema bearbeiten" klicken und im erscheinenden Menü "Als erledigt markieren".

    Antwort zu Vivaldi unter Vivaldi-Thread!
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von GwenDragon ()

  • Oh, war früher meines Wissen so, dass diejenigen die den Thread erstellten ihn auf gelöst setzen konnten; kann mich aber auch irren, bin auf zu vielen Foren als Moderatorion, da kommt eine schon mal mit den Bedienmöglichkeiten für "Normaluser" durcheinader.

    Ich setz mal auf Erledigt. Wenn das Problem in einer nächste Beta noch nicht gefixt ist, kann ich das wieder deaktivieren.
    The Bat! Pro 8.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.
  • Hallo Stefan,

    in deinem Beitrag mit dem Screenshot siehst du im Bild rechts neben der Überschrift einen roten Kasten. Der markiert das Thema als unerledigt. Kannst du auf diesen Kasten doppelklicken, damit zwischen erledigt und unerledigt umgeschalten werden kann? Ih habe das Thema testweise nochmal auf unerledigt zurückgesetzt.