[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Icedove spricht nicht mehr mit Dovecot

On 26.03.2013 09:35, Christian Knoke wrote:
> Paul schriebst am 26. Mar um 08:51 Uhr:

>> Nun habe ich aber "richtige" Serverzertifikate, die auch von einer CA
>> signiert sind. Und laut openssl sind die in Ordnung, dementsprechend
>> funktionieren ja diverse andere Clients auch problemlos.
> 
> Möglich. Icedove gefällt das Zertifikat aber nicht. Wie lautet übrigens die
> Fehlermeldung?

Fehlermeldung in Icedove? Keine. Garnix. Nicht einmal in der
Statusleiste irgendwas. Es erscheinen halt keine neuen E-Mails mehr in
den Ordnern und beim Verschicken von E-Mails kommt eine Fehlermeldung,
dass sie nicht in "Sent" gespeichert werden konnte.

> Entweder kann sie das Zertifikat nicht überprüfen, weil zum Beispiel kein
> Zugriff auf die CA möglicht ist.

Wenn ich die CA aus Icedove lösche, bricht der die TLS-Sitzung mit einer
anderen Meldung ab:

Mar 26 08:54:58 dom4 dovecot: imap-login: Disconnected (no auth attempts
in 3 secs): user=<>, rip=192.168.0.2, lip=192.168.0.1, TLS handshaking:
SSL_accept() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1
alert unknown ca: SSL alert number 48, session=<LVPiPM/Y1QDAqAAC>

> Oder die Überprüfung schlägt fehl. Oder
> irgendetwas anderes stimmt nicht an dem Zertifikat.
> 
> Siehe auch
> http://de.wikipedia.org/wiki/Transport_Layer_Security#TLS_Handshake_Protocol
> 
> Du kannst also entweder diesen Fehler suchen, oder, als workaround, Icedove
> beibringen, das Zertifikat ohne Prüfung zu akzeptieren, oder das
> Serverzertikat in die Icedove-Konfiguration direkt zu importieren, weil dann
> auf eine Überprüfung verzichtet wird.

Interessanterweise klappt der IMAP-Zugriff, wenn ich die CA (also deren
Zertifikat) lösche und dann - beim nächsten Zugriff auf den IMAP-Server
- im auftauchenden Dialog das Zertifikat des IMAP-Servers manuell als
gültig akzeptiere. Selbst wenn ich _danach_ wieder die CA hinzufüge,
*tritt der Fehler aber wieder auf*.
Und die CA hinzufügen muss ich, weil ich sonst mit dem SMTP-Server nicht
kommunizieren kann. (Auch nicht, wenn dessen Zertifikat wie oben manuell
akzeptiert wurde!)

> Es geht ja nicht nur um die Sicherheit des Servers, auch Icedove will/muss
> sicher sein, mit dem richtigen Server zu sprechen.

Ja, natürlich. Ich will ja mein Passwort nicht dem falschen Server
mitteilen.


Danke & viele Grüße

Paul
Reply to: