Gültige Zertifikate werden nicht erkannt

    Hallo zusammen!

    Ich glaube, ich hab diese Frage schon mal in einem Thread gepostet. Aber da leider so schnell wieder geschlossen, öffne ich hier einen separaten Thread.

    Und zwar benötige ich für (POP3-) Abruf meiner Uni-Mails zwei Zertifikate (DFN-Root und eines von meiner Uni, die sind auch beide noch gültig), die beide im Adressbuch-Eintrag "DFN Root CA" hinterlegt sein müssen. So, das ist auch der Fall. Komischerweise funktioniert der Abruf bis 3.5.36 auch ohne Probleme.
    Alle nachfolgenden Versionen melden einen TLS-Handshakefehler, ungültiges Serverzertifikat.

    Wenn ich mir die Details zu dem Zertifikaten anschaue, sieht das in 3.5.36 so aus:
    [Blockierte Grafik: http://www.geocities.com/d_kosfeld/tb2.jpg]

    alle nachfolgenden Versionen sagen das:
    [Blockierte Grafik: http://www.geocities.com/d_kosfeld/tb-nw.png]

    Kann das jemand verstehen? Das Zertifikat ist gültig, kann aber für nix verwendet werden? Wie kann das denn wohl sein? :blink:


    Hier mal, was im Account-Log erscheint:
    ------------
    08.10.2005, 18:10:40: FETCH - Empfange Nachrichten
    08.10.2005, 18:10:41: FETCH - Einleitung TLS-Handshake
    >08.10.2005, 18:10:42: FETCH - Zertifikat S/N: 81, Algorithmus: RSA (1024 Bits), ausgestellt von 06 Jun 2005 bis 11 Jun 2006, für 1 Host(s): zitmail.uni-paderborn.de.
    >08.10.2005, 18:10:42: FETCH - Besitzer: DE, Nordrhein-Westfalen, Paderborn, Universitaet Paderborn, IMT (Zentrum fuer Informations- und Medientechnologien), zitmail.uni-paderborn.de.
    >08.10.2005, 18:10:42: FETCH - Aussteller: DE, Nordrhein-Westfalen, Paderborn, Universitaet Paderborn, Zentrum Informations- und Medientechnologien (IMT), Uni Paderborn CA, ca@uni-paderborn.de.
    !08.10.2005, 18:10:42: FETCH - TLS-Handshakefehler. Ungültiges Serverzertifikat (The certificate cannot be used for this purpose).
    ------------


    Ist das jetzt meine Dummheit, das der Abruf nicht mehr funktioniert, oder was übersehe ich hier?

    P.S.: im Bug-Tracker ist mein dazu geöffneter Thread geschlossen worden, weil es kein Bug sein soll. Das kann aber doch eigentlich nicht sein, denn dann würds immer oder gar nicht funktionieren. Oder?

    Einmal editiert, zuletzt von darkwing (1. Februar 2006 um 17:18)

    Als was bist du angemeldet? Admin oder Benutzer?

    Man möchte manchmal Kannibale sein, nicht um den oder jenen aufzufressen, sondern um ihn auszukotzen. Johann Nestroy.

    Bei Windows. Ich hatte neulich einen aehnlichen Fehler mit eingeschraenkten Benutzerrechten.

    Ich wuerde mal den Zertifikatspfad-/kette an deiner Stelle pruefen. Du kannst ja mal einen entsprechenden Screenshoot veroeffentlichen.

    Man möchte manchmal Kannibale sein, nicht um den oder jenen aufzufressen, sondern um ihn auszukotzen. Johann Nestroy.

    Ich bin als Admin angemeldet. Komischerweise gehts ja und dann bei den neuen Versionen nicht. Kanns denn dann an den Userrechten liegen?

    Wenn es an den Userrechten liegen würde, wäre das wieder äusserst unscharf von RitLabs implementiert worden, denn die Userrechte sind auch innerhalb der Windows Engine unerheblich, wenn es um die Verifizierung von Zertifikaten geht.

    Wenn du die Zertifikate mal hier hochlädtst, kann ich sie überprüfen. Ich weiß ja nicht woher du die hast (kein Link!).


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Einmal editiert, zuletzt von GwenDragon (8. Oktober 2005 um 20:15)

    Anscheinend liest TheBat nicht die gesamten Einträge in den Zertifikaten aus.

    Inhaltlich sind die Zertifikate wie folgt:

    Schlüsselverwendung:
    Zertifikatssignatur, Offline Signieren der Zertifikatsperrliste, Signieren der Zertifikatsperrliste(06)

    NetscapeZertTyp:
    SSL-Zertifizierungsstelle, SMIME-Zertifizierungsstelle, Signaturzertifizierungsstelle(07)

    Ich habe auch festgestellt, dass gültige Zertifikate nicht mehr klappen.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    Danke, das bestätigt doch, was ich vermutete.

    Aber anscheinend ist das für die Entwickler so irrelevant, das der Issue in BugTracker als "Not a bug" abgestempelt wurde.

    Wen's interessiert:
    My Issue

    Danke dir!

    Hoffentlich fällt er jetzt mehr auf und wird mal genauer unter die Lupe genommen..

    Einmal editiert, zuletzt von darkwing (8. Oktober 2005 um 21:41)

    Ich habe mal versucht die Zertifikate in Windows zu importieren und da sagt mir Windows auch, dass die Zertifikate auch in Ordnung sind und zum Signieren von E-Mails verwendet werden.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.

    ist eigentlich das problem mit dem tunneln von port 25/110 und dem beziehen von zertifikaten darüber gelöst oder kann man das nicht lösen weil bei einer solchen aktion immer ein anderer server noch dazwischen hängt über den die tunnels laufen.

    Derzeit spinnt TheBat.

    Die Serverzertifikate sind in Ordnung und er ruft auch brav ab.
    Nur nach einigen Stunden Dauerbetrieb meldet TheBat dann andauernd:

    Code
    >27.01.2006, 13:30:58: FETCH - Zertifikat S/N: F5115D7B2BE83DB5, Algorithmus: RSA (2048 Bits), ausgestellt von 27 Jan 2006 bis 27 Jan 2008, für 1 Host(s): ######
>27.01.2006, 13:30:58: FETCH - Besitzer: DE, Bayern, #########, ##########, privater Webserver, 192.168.0.100, admin@######
>27.01.2006, 13:30:58: FETCH - Dieses Zertifikat wurde selbst ausgestellt.
!27.01.2006, 13:30:59: FETCH - Server meldet TLS-Fehler: MAC Datensatz fehlerhaft .
!27.01.2006, 13:30:59: FETCH - TLS-Handshakefehler. Verbindung fehlgeschlagen

    TheBat beenden und neu starten hilft dagegen.


    The Bat! Pro 11.x BETA (32bit) | Win 11 Pro x64 | GnuPG 2.4.x | XMP + Regula

    Wer mich Er oder der Drache nennt, bekommt von der Drachin Pratze und Feuer zu spüren.