Hallo,
importiert TB nicht das Zertifikat des Mailservers wenn ich e-mails per Secure POP3 abrufe? Ich finde im Adressbuch nur das Wurzelzertifikat der Zertifizierungsstelle, nicht aber das darunterliegende Zertifikat des Mailservers. Ohne dieses Zertifikat kann ich mir den SHA1 Fingerprint nicht anzeigen lassen, ergo nicht sicher sein, dass der Mailserver der ist, für den er sich ausgibt.
Weiss jemand Rat?
Wolfgang
Normalerweise zeigt TheBat unbekannte Zertifikate an und bietet an, sie ins Adressbuch zu stellen.
Wenn aber das Mailserverzertifikat mit dem Wurzelzertifikat (Root CA) signiert ist, ist es doch gültig!
Wozu brauchst du den Fingerprint dann?
Welcher Mailserver bzw. welche Root-CA und CA ist es denn?
Es handelt sich um ein Equifax Zertifikat. Ich weiss, dass Equifax wohl kein Zertifikat zweimal für den gleichen Server ausstellen wird, trotzdem bin ich etwas irritiert, das das Zertifikat mir nicht im Adressbuch angezeigt bzw. importiert wird. SSL Zertifikate können gefälscht werden, nicht aber der Fingerprint. Im TB Log wird alles mögliche zum Zertifikat angezeigt (Seriennummer, Organisationseinheit, Algorithmus usw.) aber nicht der Fingerprint. Ist das vielleicht ab TB Version 4 anders?
Verstehe ich das richtig, du willst das Equifax Root CA-Zertifikat anhand des Fingerprints überprüfen oder das vom Mailserver?
In TheBat 4-Log steht nur noch die Seriennummer des Serverzertifikats drin, udn ein paar Unterzeichnerdaten, kein Fingerprint.
Wenn du das Zertifikat des Servers prüfen willst, hol dir doch openssl.
Mit dem Befehl openssl s_client -connect servername.tld:25 -starttls smtp in der Konsole kannst du dann sehen, was der Sever sendet.
Den Fingerprint vom Mailserver. Danke für die das Tool damit wird es auch gehen. Ich meine mal früher irgendwo gelesen zu haben, das die 3er Version teilweise Probleme mit dem Import von Zertifikaten hat. Aber ich sehe es doch richtig, regulär muß TB das Zertifikat des Mailservers importieren, oder vergleicht TB nur, ob das Zertifikat des Mailservers mit einer Trusted Root-CA signiert wurde und spart sich den Rest?
TheBat braucht nur die Root-CA-Zertifikate. Hat der Server eine durch diese Root-CA unterschriebenes Zertifikat muss TheBat dieses Zertifikat nicht importieren. Es überprüft nur, beim Aushandeln des SSL/TLS-Handshakes, ob das Server-Zertifikkat signiert ist.
TheBat vergleicht nur die Signierung in der Zertifikatskette.
Wenn die nicht stimmt, warnt TheBat.
Nur bei fehlenden CAs oder bei selbst signierten Zertifikaten muss TheBat das Zertifikat ins Adressbuch importieren.
Den Fingerprint der Zertifikate musst du nur überprüfen, wenn du selbst Zertifikate ins Adressbuch importierst.
