Fehlermeldung "Unbekanntes ZA-Zertifikat" seit 1 Stunde (Telesec)

  • Hallo,

    ich habe ein großes Problem. Ich verwende die Version 8.2.4/32bit. Ich habe nichts am Programm oder Windows selber (Win10/1903/64bit) gemacht und bekomme plötzlich, seid ca. 1 Stunde immer die Fehlermeldung (siehe Anhang):
    "Unbekanntes ZA-Zertifikat".
    Ich wusste erst gar nicht, woher die kam, bis ich merkte, dass sie vom TB kommt. Kann mir da vielleicht jemand helfen und sagen, woher plötzlich diese Fehlermeldung kommt? Ich selber komme da nicht weiter. Ich rufe mit TB Konten von GMX, Web.de und gmail ab. Hat da vielleicht einer dieser Anbieter heute irgend etwas geändert, was ich einstellen müsste?

    Ich würde mich über Hilfe sehr freuen.

    Habe in der Logdatei folgende Meldung:
    28.06.2019, 15:35:08: FETCH - Verbinde mit POP3-Server pop.gmx.net auf Port 995
    28.06.2019, 15:35:08: FETCH - Einleitung TLS-Handshake
    >28.06.2019, 15:35:08: FETCH - Zertifikat S/N: 218296213149726650EB233346353EEA, Algorithmus: RSA (2048 Bits), ausgestellt von 08.05.2019 08:01:21 bis 13.05.2021 23:59:59, für 8 Host(s): mail.gmx.net, mail.gmx.de, smtp.gmx.net, smtp.gmx.de, imap.gmx.net, imap.gmx.de, pop.gmx.net, pop.gmx.de.
    >28.06.2019, 15:35:08: FETCH - Besitzer: "Private Organization", "HRB 7666", "Montabaur", "Rheinland-Pfalz", "DE", "DE", "Rheinland-Pfalz", "Montabaur", "1&1 Mail & Media GmbH", "mail.gmx.net".
    >28.06.2019, 15:35:08: FETCH - Aussteller: "DE", "T-Systems International GmbH", "T-Systems Trust Center", "Nordrhein Westfalen", "57250", "Netphen", "Untere Industriestr. 20", "TeleSec ServerPass Extended Validation Class 3 CA". Gültig ab 11.02.2014 14:44:50 bis 11.02.2024 23:59:59. Der Aussteller dieser Zertifikatskette wurde nicht gefunden!
    >28.06.2019, 15:35:08: FETCH - Zertifikataussteller fehlt: "DE", "T-Systems Enterprise Services GmbH", "T-Systems Trust Center", "T-TeleSec GlobalRoot Class 3".
    !28.06.2019, 15:35:08: FETCH - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden)
    !28.06.2019, 15:35:22: FETCH - TLS-Handshakefehler. Verbindung fehlgeschlagen


    MfG

    Jörg W.

  • Ich habe den Fehler gefunden, oder besser gesagt, beseitigt. Habe in den TLS-Einstellungen auf Microsoft CryptoAPI umgestellt und jetzt kommt keine Fehlermeldung mehr und der Versandt/Empfang klappt!

    TheBat! Pro 10.x (64 Bit) • Win 10 Pro x64

  • >28.06.2019, 15:35:08: FETCH - Zertifikataussteller fehlt: "DE", "T-Systems Enterprise Services GmbH", "T-Systems Trust Center", "T-TeleSec GlobalRoot Class 3".

    Das bedeutet, dass in der TB!-Zertifikatsdatenbank Trusted Root CA (aktivierbar im Adressbuch über Menü "Ansicht | Zertifikatsdatenbanken") das Wurzelzertifikat "T-TeleSec GlobalRoot Class 3" fehlt. Du kannst es von der offiziellen Webseite unter https://www.telesec.de/de/public-key-…oot-zertifikate herunterladen und in TB! importieren. Wie es geht, steht bei uns in FAQ unter "Zertifikat importieren".

  • Ich hatte bis eben auch diesen Fehler, betroffen waren die Mailanbieter, die zu 1&1 gehören, z.B. GMX und web.de.
    Leider hat das importieren des Telekomik nicht geholfen...
    Beim suchen hier im Forum habe ich das hier gefunden:

    Versand/Empfang nicht möglich wegen Zertifikatfehler

    Und das hat mir geholfen!

    Aber fragt mich nicht, warum sich das verstellt hat, wenn es sich denn verstellt hat, oder wo da die Ursache war: ich hab "nix gemacht" (Berühmte User-Ausrede)!

    Jörg Schiermeier
    Informatiker, Bielefeld

    The Bat! professional v9.x (32bit NAU) mit XMP-, Regula- und Shell-Plugin • wine v9.x • devuan linux (excalibur/ceres)

  • Beim suchen hier im Forum habe ich das hier gefunden:

    Versand/Empfang nicht möglich wegen Zertifikatfehler

    Das ist auch das, was joergwd als Workaround gemacht hat (s. den zweiten Post oben).


    Aber fragt mich nicht, warum sich das verstellt hat, wenn es sich denn verstellt hat

    Es hat sich nicht verstellt, da TB! standardmäßig auf seine eigene Zertifikatsdatenbank zugreift, so dass standardmäßig bei allen die Option "Interne Implementierung" aktiviert ist.


    Leider hat das importieren des Telekomik nicht geholfen...

    Dann hast du es nicht richtig importiert. Laut einer dt. TB!-Mailingliste hat das mehreren Benutzern geholfen.

    Bei mir ist übrigens "T-TeleSec GlobalRoot Class 3" so wie auch "T-TeleSec GlobalRoot Class 2" bereit in Trusted Root CA enthalten. Vielleicht habe ich sie alle irgendwann mal selbst importiert.

    Das Problem ist ansonsten darauf zurückzuführen, dass das Zertifikat geändert wurde. Früher lief es nämlich über "Deutsche Telekom Root CA 2". Das Protokoll sah z.B. so aus:

    Code
    FETCH - Zertifikat S/N: 9E937046E79E212A, Algorithmus: RSA (2048 Bits), ausgestellt von 22.09.2016 08:10:06 bis 27.09.2018 23:59:59, für 2 Host(s): pop.gmx.net, pop.gmx.de.
    FETCH - Besitzer: "DE", "1&1 Mail & Media GmbH", "Rhineland-Palatinate", "Montabaur", "server-certs@1und1.de", "pop.gmx.net".
    FETCH - Aussteller: "DE", "T-Systems International GmbH", "T-Systems Trust Center", "Nordrhein Westfalen", "57250", "Netphen", "Untere Industriestr. 20", "TeleSec ServerPass DE-2". Gültig ab 11.02.2014 14:30:17 bis 09.07.2019 23:59:00.
    FETCH - Root: "DE", "Deutsche Telekom AG", "T-TeleSec Trust Center", "Deutsche Telekom Root CA 2" Gültig ab 09.07.1999 12:11:00 bis 09.07.2019 23:59:00.


    Da dieses Zertifikat aber nur bis zum 09.07.2019 gültig ist und daher in ca. 10 Tagen abläuft, hat man rechtzeitig die Zertifikatskette geändert. Das neue Zertifikat ist ja bis 2033 gültig. In der Windows-Zertifikatsdatenbank ist es enthalten. Bei TB! aber wohl nicht. Daher der Sicherheitshinweis von TB!

    Das ist, wohlgemerkt, kein Fehler o.ä., da es nach dem Klick auf OK problemlos weitergeht. TB! weist lediglich darauf hin, dass das Wurzelzertifikat fehlt und die Verbindung daher unsicher sein könnte.

  • Ich habe den Fehler gefunden, oder besser gesagt, beseitigt. Habe in den TLS-Einstellungen auf Microsoft CryptoAPI umgestellt und jetzt kommt keine Fehlermeldung mehr und der Versandt/Empfang klappt!

    Hallo! Ich habe denselben Fehler und muss bis Montag früh um 6.00 Uhr das E-Mail-Programm wieder zum Laufen gebracht haben. Wo findet man denn diese TLS-Einstellungen damit ich das auch mal ausprobieren kann? Über wein wenig Hilfestellung würde ich mich sehr freuen. Hierfür schon mal vielen Dank vorab. VG Martin

  • Dann hast du es nicht richtig importiert. Laut einer dt. TB!-Mailingliste hat das mehreren Benutzern geholfen.


    Oh man, manche Dinge im Leben sind einfach:
    Kaum macht man es richtig, schon funktioniert es!

    Bei mir läuft es jetzt mit dem importierten Zertifikat vom großen T.

    Und:

    Meine "Lösung", einfach die Crypto-Engine zu ändern, hatte dann zur Folge, dass das GnuPG nicht mehr wollte.
    Eigene Blödheit: ich hatte das sogar schon mal in meinen Notizen beschrieben und die Folgen notiert.
    M(

    Jörg Schiermeier
    Informatiker, Bielefeld

    The Bat! professional v9.x (32bit NAU) mit XMP-, Regula- und Shell-Plugin • wine v9.x • devuan linux (excalibur/ceres)

  • Hallo
    Unter Optionen/S/MIEME und TLS.. und hier dann auf "auf Microsoft CryptoAPI" umstellen (siehe Anhang).

    Vielen Dank, "Joergwd". Ich habe das wie von Dir vorgeschlagen gemacht und jetzt ist in der Tat das nervige Aufpoppen des Zertifikate-Hinweises weg. Es scheint jetzt alles wieder ordnungsgemäß zu funktionieren. Testweise Mail hin und her schicken funktioniert. Ich sehe aber das unten rechts "unverschlüsselt" steht. Ist das so normal? Oder muss ich noch irgendwas ändern? Ich dachte zuerst den Fehler damit beheben zu können das ich meine Professional-Version von 7.0.nochwas auf Version 8.8.9 (64-mit) upgedated habe. Nur dieses "unverschlüsselt" fällt mir da jetzt auf. Jemand ne Idee dazu? Danke für Eure Hilfe. VG Martin

  • Ich sehe aber das unten rechts "unverschlüsselt" steht. Ist das so normal? Oder muss ich noch irgendwas ändern?

    Ja, das steht bei mir auch. Aber soweit ich weiß, heißt das, dass deine Datenbank unverschlüsselt ist und dein Adressbuch und nicht der Mailverkehr selber (ich kann mich irren). Aber ehrlich gesagt, habe ich das heute das Erste mal wahrgenommen, weil du es geschrieben hast ;)
    Wie das zu ändern geht und ob es von großer Wichtigkeit ist, kann ich leider nicht sagen, da kenne ich mich nicht genug aus.

    Gruß
    Jörg W.

    TheBat! Pro 10.x (64 Bit) • Win 10 Pro x64

  • Super, vielen Dank allen Beteiligten - ihr habt mir gut weiter geholfen. Schönen Sonntag Euch allen. Gruß Martin

  • Ich sehe aber das unten rechts "unverschlüsselt" steht.

    IN der Statusleiste von The Bat! wird mehr angezeigt wenn du mit der Maus drüber gehst, dann steht dort dass es sich um die Verschlüsselung der Maildatenbank nebst Adressbuch und Konfiguration handelt.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    • Wer noch Deutsche Telekom Root CA 1 und/oder Deutsche Telekom Root CA 2 unter Trusted Root CA hat, kann die beiden löschen, da sie nur noch bis heute (09.07.2019, 23:59:00) gültig sind.
    • Offensichtlich wurde mehrfach angeregt, das neue Zertifikat in die interne TB!-Zertifikatsdatenbank aufzunehmen, worauf im BT ein entsprechender Eintrag seitens der Entwickler gemacht wurde. Er hat zwar bereits den Status "bestätigt" erhalten. Wer ihn aber dennoch bestätigen möchte (s. auch BT-Verwendung:(

      #0001790: Add the root certicifate for "T-Telesec GlobalRoot Class 3"