8.5.4 protocol error BuildClientKeyExchange

  • Zitat

    Die Schalter sind teilweise hier drin beschrieben:
    https://www.ritlabs.com/de/products/th…n-history/7122/


    OK. Danke, da muss ich bisschen probieren.

    Zitat

    TheBat! 8.5.4


    Wo kommt den dieses changlog her, auf der Website steht das so nicht.

    Zitat

    Hast du auch mal beim Ritlabs-Support auf http://www.ritlabs.com/en/support/ticket_list.php angefragt?

    Nee, noch nicht, ich bin im Moment noch viel zu planlos. Ich könnte höchstens ein "funzt net" abgeben :)

  • to be continued…

  • Ja, und ich habe geantwortet mit der Auskunft, dass es nur beim Senden zu dem Problem kommt.

    Seine Vermutung mit dem nicht verifizierbaren Zertifikat könnte passen. Die Zeile TLS-Protokollfehler: Interner Fehler BuildClientKeyExchange ersetzt im Protokoll die Zeile TLS-Handshake vollständig

    Ich warte aber noch auf eine Antwort und würde mich dann damit bei Ritlabs vorstellen.

  • mmh, also Hetzner meint:

    Zitat

    einige sehr alte Betriebssysteme enthalten noch nicht das Wurzel-Zertifikat, welches bei unserem *.your-server.de Zertifikat eingesetzt wird.

    Dieses Wurzel-Zertifikat lässt sich meistens manuell im entsprechenden System importieren und dort im Trust-Store ablegen.

    Diese Zertifikat ist auch auf https://hetzner-status.de/#9207 einsehbar/kopierbar, im Eintrag "Update des Mailsystems".

    Bitte prüfen Sie, ob Sie das entsprechene Zertifikat im Betriebssystem oder Ihrem eMail-Client hinterlegen können.

    Das würde ja bedeuten, dass Ritlabs diese Zertifkat entfernt hat, oder?

    Kann man den die Stammzertifikate in thebat bearbeiten?

  • The Bat! entfern keine Zertifikate.
    Es ist so, dass The Bat! nicht alle Root-Zertifikate hat, nur die der größten Anbieter.
    Und es kommt darauf an ob Windows-Zertifikate verwendet werden sollen oder die von The Bat!.

    Was Hetzner meint ist das Root-Zertifikat von DigiCert Global Root G2
    Das sollte aber in der neuen The Bat! schon vorhanden sein.
    Und auch in neuen Windows 10.

    Hetzner-Zertifikatsdatei hetzner.crt.txt hier runter laden
    Umbenennen in hetzner.crt

    The Bat!
    =======
    Adressbuch aufurfen
    Ansicht → Zertifikatsdatenbanken
    'Trusted Root CA' wählen
    Neuen Kontakt
    Bei Vorname dann 'Hetzer Mail'
    Reiter Zertifikate
    Import
    Hetzner-Zerifikatsdatei hetzner.crt wählen
    OK

    oder

    Windows Zertifikatsspeicher
    ========================
    The Bat! Menü → Optionen S/MIME und TLS…
    (•) Microsoft Crypto API
    OK
    Windows-Taste
    Benutzerzertifikate eingeben
    Zertifikatsverwaltung startet
    Zweig 'Vertrauenswürdige Stammzertifikatsstellen'
    Aktion → Alle Auufgaben → Importieren
    Hetzner-Zertifikatsdatei hetzner.crt auswählen

  • Cool, Vielen Dank.

    Die Adressbücher von der 8.5.2 und der 8.5.4 bzw. 8.5.6, enthalten jeweils das "DigiCert Global Root G2" bereits.

    Über den Tab "Zertifikate", Doppelklick auf den Eintrag erscheint ein Dialog mit wiederum drei Tabs. Im Ersten ("Allgemein") steht.

    Zitat

    The Bat! kann dieses Zertifikat nutzen für: Nachrichten-Verschlüsselung - nein, Prüfe digitale Signatur einer Nachricht - nein, TLS-Verbindungen - nein.


    Also "TLS-Verbindungen - nein" erschien mir immerhin auffällig, also habe ich doch das Zertifikat von Hetzner importiert. Über das Adressbuch, es ist genau das gleiche wie das bereits vorhandene. Wie kann es anders sein… planloses rumgestochere… Alles in Allem also wenig weitergekommen.

    Bis eben. Noch mal alle Schalter angeschaut und festgestellt, dass ich einen noch nicht probiert hatte. /TLS_DISABLE_PERFECT_FORWARD_SECRECY hat bei mir jetzt geholfen.

    Zitat

    New command-line parameter "/TLS_DISABLE_PERFECT_FORWARD_SECRECY" to disable perfect forward secrecy

    Mal davon abgesehen, dass sich immer noch einige Fragezeichen (z.B. "TLS-Verbindungen - nein"?) im Orbit um mein Haupt befinden, verstehe ich das nun auch wieder nicht.

    Bei Heise (https://www.heise.de/security/artik…cy-1923800.html) kann man da was finden.

    Dort ist sind die Chiffren

    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

    erwähnt, die von Hetzner ebenfalls unterstützt und als Deckungsgleich mit den Sammlungen von TheBat! identifiziert hat.

    OK. Also bleibt jetzt die Frage, wieso muss man PFS abschalten wenn es doch beide unterstützen.
    Vielleicht weil die Sammlungen von oben nach unten abgearbeitet werden und das erste das trifft wird benutzt und das ist eben eine ohne PFS?

    Oh Mann, ich check das alles nicht.

    Schönen Abend noch.
    ciao, Stefan

  • The Bat! kann PFS , ich habs ja auch auf meinem selbstverwalteten Mailserver, und da sin sogar die starken Chiffere drin.
    Meine Mails haben im Header: using TLSv1.2 with cipher ECDHE-RSA-AES128-SHA256

    - - -
    Wenn das Zertifikat schon da ist, musst du nix mehr importieren.

    Das ist bei Dir ein Fall für den Ritlabs-Support, die haben wohl einen Fehler in der TLS mit Forward secrecy.
    Das mit "TLS-Verbindungen - nein" verstehe ich auch nicht. Melde das mal an Ritlabs.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    2 Mal editiert, zuletzt von GwenDragon (11. Juli 2018 um 09:18)

  • Das mit "TLS-Verbindungen - nein" verstehe ich auch nicht

    Das habe ich raus bekommen. Das DigiCert Global Root G2 dient nur zum Signieren anderer abgeleiteter Zertifikate und verschlüsselt selbst keine Verbindung.
    Das mach ja das damit signierte Server-Zertifikat, also des Hetzner-Mailserver selbst.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (11. Juli 2018 um 15:39)

  • Mensch Lilo Du Tier … ähm Drachin :) Vielen Dank für Deine Hilfe.

    Ich denke jetzt muss ich mich tatsächlich an Ritlabs wenden. Denn zwischenzeitlich habe ich auch von Hetzner eine Aussage diesbezüglich erhalten. Ich erstatte Report wenn ich was Neues weiß.


  • Ja, dann ist bei The Bat! TLS 1.2 + Perfect Secrecy immer noch defekt.
    Du hast halt einen Bug erwischt.
    Mal sehen wie schnell dann die Behebung in einer 8.5.7 Final kommt.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Zitat

    Hello Stefan,

    we are aware of the problem "protocol error BuildClientKeyExchange" and will fix it in a couple of days, we hope.


    "… we hope" :)

    OK, was macht man den jetzt mit dem Thread, als gelöst markieren? Wie geht das?

  • Da bin ich gespannt. Wenn sie es schnell finden kann das auch am Sonntag fertig sein, hatten wir alles schon mal.

    als gelöst markieren? Wie geht das?

    Ganz oben "Thema bearbeiten"


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • RechtsOben, das sind drei abrgeundete Buttons, den "Thema bearbeiten" klicken und im erscheinenden Menü "Als erledigt markieren".

    Antwort zu Vivaldi unter Vivaldi-Thread!


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    2 Mal editiert, zuletzt von GwenDragon (14. Juli 2018 um 09:01)

  • Oh, war früher meines Wissen so, dass diejenigen die den Thread erstellten ihn auf gelöst setzen konnten; kann mich aber auch irren, bin auf zu vielen Foren als Moderatorion, da kommt eine schon mal mit den Bedienmöglichkeiten für "Normaluser" durcheinader.

    Ich setz mal auf Erledigt. Wenn das Problem in einer nächste Beta noch nicht gefixt ist, kann ich das wieder deaktivieren.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Hallo Stefan,

    in deinem Beitrag mit dem Screenshot siehst du im Bild rechts neben der Überschrift einen roten Kasten. Der markiert das Thema als unerledigt. Kannst du auf diesen Kasten doppelklicken, damit zwischen erledigt und unerledigt umgeschalten werden kann? Ih habe das Thema testweise nochmal auf unerledigt zurückgesetzt.