Nochmals Fehlermeldung zum unbekannten ZA-Wurzelzertifikat

  • Hallo Zusammen,

    das Thema wurde schon mal besprochen, dennoch finde ich leider bislang keine Abhilfe für unser Problem.
    Folgende Konstellation vorab:
    Mehrere Mail-Konto-Dateien liegen bei uns auf einer Netzwerk-Festplatte, einige davon werden von mehreren Rechnern gemeinsam genutzt, andere exklusiv von bestimmten Rechnern. Das Adressbuch ist ebenfalls dort und als Standard-Adressbuch bei allen E Mail-Konten verknüpft. Wir haben 2 Rechner:

    PC-1: Win7 32bit The Bat! Version 8.6
    PC-2: Win10, 64bit, The Bat! Version 8.8.2, hier gibt es 2 Windows-Benutzer - Admin und Standardbenutzer.

    Nur beim PC-2 und Standardbenutzer bringt TB die Fehlermeldung "Unbekanntes ZA-Zertifikat" dass der Server kein Wurzelzertifikat übergeben hat und es existiert kein entsprechendes Wurzelzertifikat in unserem Adressbuch. Melde ich mich als Admin an, läuft TB mit dem selben Adressbuch und mit denselben Konten ohne der Fehlermeldung... PC1 läuft ebenfalls einwandfrei. Man kann zwar die Fehlermeldung mit OK bestätigen, aber das wird mit der Zeit lästig.

    Hier ein Auszug aus der Log-Datei bei PC-2 / Standardbenutzer:

    >05.04.2019, 13:37:29: IMAP - Zertifikat S/N: 7E1FEE3656DE97F3, Algorithmus: RSA (1024 Bits), ausgestellt von 01.04.2019 09:03:31 bis 29.03.2029 09:03:31, für 12 Host(s): *.webpack.hosteurope.de, webpack.hosteurope.de, *.mail.server-he.de, *.server-he.ch, *.ftp.server-he.ch, *.mywebdav.de, *.server-he.de, *.mailout.server-he.de, *.mail.server-he.ch, *.mailout.server-he.ch, *.ftp.server-he.de, *.storage.hosteurope.de.
    >05.04.2019, 13:37:29: IMAP - Besitzer: DE, Nordrhein-Westfalen, Köln, Host Europe GmbH, *.webpack.hosteurope.de.
    >05.04.2019, 13:37:29: IMAP - Aussteller: DE, NRW, Bochum, G Data Software AG, Generated by G Data Security Software for SSL scanning, G Data Mail Scanner Root.
    >05.04.2019, 13:37:29: IMAP - Dovecot ready.
    >05.04.2019, 14:54:23: IMAP - Zertifikat S/N: 7E1FEE3656DE97F3, Algorithmus: RSA (1024 Bits), ausgestellt von 01.04.2019 09:03:31 bis 29.03.2029 09:03:31, für 12 Host(s): *.webpack.hosteurope.de, webpack.hosteurope.de, *.mail.server-he.de, *.server-he.ch, *.ftp.server-he.ch, *.mywebdav.de, *.server-he.de, *.mailout.server-he.de, *.mail.server-he.ch, *.mailout.server-he.ch, *.ftp.server-he.de, *.storage.hosteurope.de.
    >05.04.2019, 14:54:23: IMAP - Besitzer: "DE", "Nordrhein-Westfalen", "Köln", "Host Europe GmbH", "*.webpack.hosteurope.de".
    !05.04.2019, 14:54:23: IMAP - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden)
    >05.04.2019, 14:54:25: IMAP - Dovecot ready.
    >05.04.2019, 15:19:54: SEND - Zertifikat S/N: 7E1FEE3656DE97F3, Algorithmus: RSA (1024 Bits), ausgestellt von 01.04.2019 09:03:31 bis 29.03.2029 09:03:31, für 12 Host(s): *.webpack.hosteurope.de, webpack.hosteurope.de, *.mail.server-he.de, *.server-he.ch, *.ftp.server-he.ch, *.mywebdav.de, *.server-he.de, *.mailout.server-he.de, *.mail.server-he.ch, *.mailout.server-he.ch, *.ftp.server-he.de, *.storage.hosteurope.de.
    >05.04.2019, 15:19:54: SEND - Besitzer: "DE", "Nordrhein-Westfalen", "Köln", "Host Europe GmbH", "*.webpack.hosteurope.de".
    !05.04.2019, 15:19:54: SEND - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden)
    <05.04.2019, 15:19:57: SEND - Nachricht an XXX versandt (3001 Byte)
    >05.04.2019, 15:31:49: IMAP - Zertifikat S/N: 7E1FEE3656DE97F3, Algorithmus: RSA (1024 Bits), ausgestellt von 01.04.2019 09:03:31 bis 29.03.2029 09:03:31, für 12 Host(s): *.webpack.hosteurope.de, webpack.hosteurope.de, *.mail.server-he.de, *.server-he.ch, *.ftp.server-he.ch, *.mywebdav.de, *.server-he.de, *.mailout.server-he.de, *.mail.server-he.ch, *.mailout.server-he.ch, *.ftp.server-he.de, *.storage.hosteurope.de.
    >05.04.2019, 15:31:49: IMAP - Besitzer: DE, Nordrhein-Westfalen, Köln, Host Europe GmbH, *.webpack.hosteurope.de.
    >05.04.2019, 15:31:49: IMAP - Aussteller: DE, NRW, Bochum, G Data Software AG, Generated by G Data Security Software for SSL scanning, G Data Mail Scanner Root.

    >05.04.2019, 15:31:49: IMAP - Dovecot ready.

    Das Adressbuch hat unter Trusted Root CA einen Eintrag Hosteurope mit importierten Zertifikaten und einen Eintrag Go Daddy Root Certificate Authority - (Aussteller des Zertifikates laut Hosteurope) mit denselben importierten Zertifikaten.
    Den Auszug aus der Log-Datei vom Admin-Benutzer zum Vergleich kommt gleich...

  • Mir ist aufgefallen, dass die Log-Datei identisch ist :rolleyes::)
    Fraglich ist jetzt jedoch, wieso habe ich als Admin keine Fehlermeldung und als Standard-Benutzer schon - und das am selben Rechner.
    Und die 2-te Frage ist, warum wird das Zertifikat S/N: 7E1FEE3656DE97F3 mal angemeckert und mal nicht...

  • Das Adressbuch ist ebenfalls dort und als Standard-Adressbuch bei allen E Mail-Konten verknüpft

    Das Adressbuch ist nicht gleich das Adressbuch. Die Zertifikatsdatenbank befindet sich nämlich in der separaten Datei "RootCA.ABD". Entscheidend ist also, wo sich diese Datei befindet. Also, im Adressbuch auf "Ansicht | Zertifikatsdatenbanken" klicken, dann erscheint u.a. Trusted Root CA. Darauf rechtsklicken und "Eigenschaften" wählen. Dort steht dann der Pfad zu dieser Datei.


    >05.04.2019, 13:37:29: IMAP - Aussteller: DE, NRW, Bochum, G Data Software AG, Generated by G Data Security Software for SSL scanning, G Data Mail Scanner Root.
    [...]
    !05.04.2019, 14:54:23: IMAP - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden)

    Wie man sieht, schaltet sich GData dazwischen. Das entsprechende Zertifikat fehlt jedoch in Trusted Root CA (s.o.). Entweder die Untersuchung von SSL-Verbindungen in GData ausschalten oder das GData-Zertifikat importieren.

  • Lasst doch mal die Finger weg, die SSL-Verbindungen mit krüppeliger Mail-Antivirus-Software zu scannen. Gibt doch nur Probleme udn verhunzt die Sicherheit bei Schlüsseln, in dem es diese verkürzt, und damit diese aufbricht.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Vielen Dank für die Hinweise, wusste gar nicht, dass G Data dazwischen hängt.
    Das SSL-Zertifikat konnte ich aus G Data exportieren und ins TB Adressbuch wieder importierten. Das funktioniert erst einmal ohne Fehlermeldungen, ansonsten schalte ich den krüppeligen Mail-Scanner ab.


    Das Adressbuch ist nicht gleich das Adressbuch. Die Zertifikatsdatenbank befindet sich nämlich in der separaten Datei "RootCA.ABD". Entscheidend ist also, wo sich diese Datei befindet. Also, im Adressbuch auf "Ansicht | Zertifikatsdatenbanken" klicken, dann erscheint u.a. Trusted Root CA. Darauf rechtsklicken und "Eigenschaften" wählen. Dort steht dann der Pfad zu dieser Datei.

    Die RootCA.ABD war tatsächlich noch lokal im benutzereigenen Ordner.

    Noch eine Rückfrage dazu: Öffne ich das Adressbuch als Adminbenutzer, fehlt der Punkt Ansicht > Zertifikatsdatenbanken; dieser ist nur sichtbar, wenn ich als Standardbenutzer in Windows angemeldet bin.
    Wieso kann ich mit Adminrechten die Zertifikate nicht verwalten?

  • Noch eine Rückfrage dazu: Öffne ich das Adressbuch als Adminbenutzer, fehlt der Punkt Ansicht > Zertifikatsdatenbanken; dieser ist nur sichtbar, wenn ich als Standardbenutzer in Windows angemeldet bin.
    Wieso kann ich mit Adminrechten die Zertifikate nicht verwalten?

    Ich logge mich als Benutzer (Konto hat Adminrechte) an, starte The Bat! 8.8.2, öffne das Adressbuch und kann dort auch im Menü → Ansicht → Zertifikatsdatenbanken sehen.

    Kann es sein, dass du unter The Bat! Optionen → S/MIME und TLS… da Microsoft Crypto API statt Interne Implementierung (The Bat's Adressbuch) aktiviert hast?


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (9. April 2019 um 10:36)

  • Ich musste schlussendlich doch in G Data die Untersuchung von SSL Verbindungen abschalten, da es trotz des importierten Zertifikates zu Fehlermeldungen kam.

    Ich logge mich als Benutzer (Konto hat Adminrechte) an, starte The Bat! 8.8.2, öffne das Adressbuch und kann dort auch im Menü → Ansicht → Zertifikatsdatenbanken sehen.
    Kann es sein, dass du unter The Bat! Optionen → S/MIME und TLS… da Microsoft Crypto API statt Interne Implementierung (The Bat's Adressbuch) aktiviert hast?

    Ja, tatsächlich war es so - beim Adminbenutzer war die Option Microsoft Crypto aktiviert, ich habe es auf interne Implementierung umgestellt und sehe jetzt auch das Adressbuch Trusted Root CA.

    Vielen Dank für die schnelle Hilfe und ein schönes Wochenende!