Zertifikat von Parallels auf Plesk - Server wird nicht akzeptiert TLS-Handshakefehler

  • Auch ich habe ein Problem mit den Zertifikat bei der TLS Verschlüsselung.
    Leider habe ich bei den älteren thread keine Lösung für mein Problem gefunden.
    Ich nutze die Version 5.4 unter XP
    Mein Problem:
    Seit einigen Wochen liegt meine Domain auf einen Plesk Server.
    Und seitdem funktioniert das Empfangen / Senden mit TLS Verschlüsselung auch nicht mehr.
    Die Fehlermeldung in der LogDatei lautet:

    Zitat

    TLS-Handshakefehler. Keine Übereinstimmung zwischen Hostname ("MeineDomain.de") und Zertifikat.

    Das stimmt auch, denn das Zertifikat das geladen wird ist nicht auf meinen Namen ausgestellt sondern es kommt von Parallels.
    Ich hätte schon längst meinen Provider um Hilfe gebeten, allerdings ist es so das Mozilla Thunderbird das Zertifikat anerkennt.
    Daher denke ich ist es ein Problem von TheBat, oder?
    Kann mir jemand helfen?
    Danke

  • Warum nutzt der Server sowas? Das Plesk Zertifikat ist ein Platzhalter und ist sinnlos als SSL-Zertifikat für einen Mailserver!


    Dein Mailserverbetreiber hat Fachwissen das gegen Null geht. Der soll ein korrektes Zertifikat reinsetellen.

    The Bat! Pro 9.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Zitat

    Dein Mailserverbetreiber hat Fachwissen das gegen Null geht.

    Ich allerdings auch.


    Zitat

    Warum nutzt der Server sowas? Das Plesk Zertifikat ist ein Platzhalter und ist sinnlos

    Das hast du ja hier schon mal geschrieben, aber ich habe es leider nicht verstanden :)


    Trotzdem frage ich mich, warum nimmt Thunderbird das Zertifikat an?
    Ich dachte, dass es an der Fledermaus liegt und nicht am Zertifikat. Dann rufe ich mal gleich meinen Provider an.
    Danke für die Info.

  • Wer Plesk installiert, hat auf jedem Mailserver erstmal ein Zertifikat von Plesk für den Server-Host, aber NICHT für die Mail-Domain. Ein Serverbetreiber, der das nicht kapiert, hat Null Ahnung von Administration!


    Thunderbird nimmt ein solches Zertifikat auch nicht an, weil es falsch ist, und warnt. Wenn du Thunderbird sagst, nimm das Zertifikat trotzdem an, brauchst du doch nicht zu wundern, wenn dir unsichere Zertifikate untergeschoben werden.


    TheBat! macht sowas nicht, weil das Zertifikat nicht vertrauenswürdig ist. Das ist eben ein Sicherheitskonzept.

    The Bat! Pro 9.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Heute habe ich endlich mit meinen Provider gesprochen. Der sagt, wie soll es auch anders sein, das Zertifikat ist i.O. uns muss funktionieren.
    Und ich hätte die Falsche Serveradresse eingegeben. Wenn man TLS verwenden will ist die Serveradresse nicht meine Domain sonder die Servername.servertools24.de
    Trotzdem bekomme ich immer noch die selbe Fehlermeldung.
    Was mich jetzt verunsichert ist, dass bei den Zertifikat Eigenschaften TLS Verbindungen -ja




    und bei dem Zertifikat von der Telekom, TLS Verbindungen - nein steht, aber das wird ohne meckern genommen.

    Einmal editiert, zuletzt von mse () aus folgendem Grund: Bilder lokal eingebunden. Siehe Infos daszu hier: https://www.batboard.net/board4-informationen-releases/board23-forum/12137-bilder-in-forenbeitr-gen/

  • Der Mailserver heißt niemals Servername.servertools24.de!
    Ist euer Servername geheim?

    The Bat! Pro 9.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Auf dehamd084.servertools24.de ist es wie folgt auf Ports 25(STARTTLS), 110(STARTTLS), 143(STARTTLS), 465, 993, 995 meldet sich das Zertifikat mit CN=Parallels Panel

    Code
    C = US, ST = Virginia, L = Herndon, O = Parallels, OU = Parallels Panel, CN = Parallels Panel, emailAddress = info@parallels.com


    CN bedeutet CommonName, das muss der Mailservername mit Domain sein!
    Nicht Parallels ... Das ist kein gültiger Domainname.


    Wenn euer Provider das für richtig hält, ist der Support überfordert oder unwissend!


    Gabt ihr euch ein Zertifikat gekauft? Oder wie?
    Wer betreut denn den Server? Oder ist das ein Webspace?

    The Bat! Pro 9.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • * * *
    Edit


    Du schreibst:
    ... es wie folgt auf Ports 25(STARTTLS), 110(STARTTLS) usw.
    heißt das, ich muss die Einstellungen in TB von TLS auf STARTTLS ändern?


    * * *



    Vielen Dank GwenDragon!
    Nein, bezahlt habe ich für das Zertifikat nichts. Es ist auch nur für ein privates Webspace / E-Mail.
    Es ist immer sehr schwierig, wenn man selber kein Fachmann ist, den Support davon zu überzeugen das er etwas unternehmen soll.


    Ich werde den Support mitteilen das der CN Parallels Panel ist und er eigentlich dehamd084.servertools24.de heißen müsste.
    Mal sehen wie es weiter geht.
    Danke!

  • Du schreibst:
    ... es wie folgt auf Ports 25(STARTTLS), 110(STARTTLS) usw.
    heißt das, ich muss die Einstellungen in TB von TLS auf STARTTLS ändern?


    Nein, das war nur ein Beispiel, wo für Mail mit STARTTLS zugreifbar ist.
    465, 993, 995 (alle über TLS) ist ok.


    Nein, bezahlt habe ich für das Zertifikat nichts. Es ist auch nur für ein privates Webspace / E-Mail.
    Es ist immer sehr schwierig, wenn man selber kein Fachmann ist, den Support davon zu überzeugen das er etwas unternehmen soll.

    Ach so, nur Webspace.
    Das Zertifikat sollte aber trotzdem ein sinnvoll konfiguriertes sein.
    Da ist der Anbieter aber schlampig, hat wenig Ahnung von Zertifikaten/eigenen Servern oder schlichtweg Desinteresse beim Support.

    The Bat! Pro 9.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Ich habe mittlerweile dreimal diese Antwort vom Support bekommen - das ist kein Fake


    vielen Dank für Ihre E-Mail, die wir nachfolgend gerne beantworten.
    Die Technik ist noch am prüfen, was hier beim SSL Zertifikat nicht stimmt, wir
    bitten noch um Geduld.
    Bei Rückfragen stehen wir Ihnen gerne jederzeit zur Verfügung.
    Mit freundlichen Grüßen / Best regards

  • Eine Woche zum Prüfen? :evil:
    Du armer. Deren Support ist ja sowas von "kompetent". Na ja, es wird eben am Support gespart, wenn das Hosting kostengünstig ist.

    The Bat! Pro 9.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

  • Zitat

    Na ja, es wird eben am Support gespart, wenn das Hosting kostengünstig ist.

    Das stimmt. Daher darf ich auch nicht meckern.
    Aber es tut sich etwas. Ich habe ein neues / anderes Zertifikat. Das ist aber leider auch nicht 100% i.O.
    GwenDragon, du hast das Zertifikat auf meinen Server ausgelesen und das Ergebnis war ja:
    C = US, ST = Virginia, L = Herndon, O = Parallels, usw.


    wie machst du das, kann ich das auch? Das wäre jetzt bestimmt hilfreich.
    Momentan ist es so, dass mit dem aktuellen Zertifikat STARTTLS bedingt funktioniert.
    Es kommt jedes mal folgende Meldung:


    In der Log steht dann:


    FETCH - Zertifikat S/N: 3E893F200BA806098786DAC42B714266, Algorithmus: RSA (2048 Bits), ausgestellt von 20.12.2013 bis 20.12.2014 23:59:59, für 2 Host(s): dehamd084.servertools24.de, www.dehamd084.servertools24.de.
    FETCH - Besitzer: Domain Control Validated, Provided by EUNETIC GmbH, EuropeanSSL Single, dehamd084.servertools24.de.
    FETCH - Aussteller: DE, EUNETIC GmbH, EuropeanSSL Server CA.
    FETCH - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden)
    FETCH - TLS-Handshake vollständig


    Und wenn ich es per TLS versuche wird das Zertifikat erst gar nicht herunter geladen.
    In der Log wird dann nur auf einen SessionUnknownContentType ct (43) hingewiesen. Das sagt ja auch nicht viel.
    FETCH - TLS-Protokollfehler: Unerwartete Nachricht SessionUnknownContentType ct (43)

    Einmal editiert, zuletzt von GwenDragon () aus folgendem Grund: Bild auf Board eingebunden Bild bitte immer unter Dateianhänge hochladen!

  • MOD Gwendragon sagt:
    Bert
    Bitte Bilder nicht von externen Dateihostern einbinden, sondern Hochladen als Dateianhänge (unter dem Beitragseditor! ist der Tab) im Board.
    Grund ist, dass Bilder auf externen Filehostern irgendwann verschwinden können, dann sind die Postings nicht mehr lesbar.




    GwenDragon, du hast das Zertifikat auf meinen Server ausgelesen und das Ergebnis war ja:
    C = US, ST = Virginia, L = Herndon, O = Parallels, usw.


    wie machst du das, kann ich das auch? Das wäre jetzt bestimmt hilfreich.

    So:

    Code
    openssl s_client -connect dehamd084.servertools24.de:25 -starttls smtp



    Zitat

    In der Log steht dann:


    FETCH - Zertifikat S/N: 3E893F200BA806098786DAC42B714266, Algorithmus: RSA (2048 Bits), ausgestellt von 20.12.2013 bis 20.12.2014 23:59:59, für 2 Host(s): dehamd084.servertools24.de, www.dehamd084.servertools24.de.
    FETCH - Besitzer: Domain Control Validated, Provided by EUNETIC GmbH, EuropeanSSL Single, dehamd084.servertools24.de.
    FETCH - Aussteller: DE, EUNETIC GmbH, EuropeanSSL Server CA.
    FETCH - TLS-Handshakefehler. Ungültiges Serverzertifikat (Der Aussteller dieser Zertifikatskette wurde nicht gefunden)
    FETCH - TLS-Handshake vollständig


    Da fehlt das Zertifikat des Ausstellers, von EuropeanSSL Server CA. Das ist vielleicht eine schlampig gemachte unübersichtliche Website von denen. Nirgendwo ein Hinweis wo man deren Rootzertifikate findet. :thumbdown:
    Erst durch herunterladen eines Webserver-Zertifikats und dem Inspizieren der Interna des Zertifikats rausbekommen.


    OK, Abhilfe für das Zertifikat in The Bat! ist möglich.


    1. Datei von http://crt.europeanssl.eu/EuropeanSSLServerCA.crt herunterladen
    2. in EuropeanSSLServerCA.cer umbenennen
    3. The Bat! Adressbuch aufrufen
    4. Menü Ansicht -> Zertifikatsdatenbanken
    5. Im Baum links Trusted Root CA wählen
    6. Datei -> Adressbuch importieren -> X.509 Zertifikate
    7. Datei EuropeanSSLServerCA.cer auswählen
    8. Öffnen


    Damit sollte das Zertifikat bekannt sein.




    Was bekomm ich jetzt von dir dafür, dass ich den Support bei Zertifikaten deines Mailservers leiste, den Job, den dein Hoster machen sollte?
    Vielleicht einen kleinen Amazongutschein (weiteres per PN)? Wäre nett.
    Danke.

    The Bat! Pro 9.x BETA (32bit) | Win 10 Pro x64 | GnuPG 2.2.x | XMP + Regula


    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon ()

  • Danke Gwendragon!
    Das dass Rootzertifikat fehlt habe ich auch gerade herausgefunden.
    Ich habe mal alle Zertifikate im Trusted Root gelöscht. Dann hatte ich das selbe Problem mit meinen G-Mail Konto.
    Ohne deine Hilfe hätte ich das Rootzertifikat von European nicht so schnell bekommen. Danke.
    Das mir Amazon ist eine gute Idee.
    Melde mich per PN.

  • würde da ne Zertifikatsüberprüfung empfehlen! Hier steht wie genau man
    das machen kann:
    http://www.heise.de/security/m…eberpruefung-2177285.html



    oder wenns gar nicht reagiert ein neues ssl certificate holen, habe meins von https://globalprotec.com/de/
    gibt auch viele kostenlose die was taugen! Kann aber auch sein, dass
    das Zertifikat bei dir deaktiviert wurde und quasi nur wieder aktiv
    werden muss! Einfach jmd schauen lassen, der Ahnung hat!