Keine Zertifikate von *.bluewin.ch mehr abfrufbar!?

StarWarsFan

Hallo miteinander,

mein Mailserver bedient knapp 20 Mailkonten bei unterschiedlichen Providern. Dabei werden sowohl beim Empfang als auch beim Versand die Zertifikate gecheckt. Nun habe ich das Problem, dass seit einigen Tagen der Zertifikats-Check bei bluewin nicht mehr funktioniert. Auch das automatische Updaten der Zertifikate funktioniert bei bluewin nicht mehr.

Ist etwas bekannt, dass sich an dieser Stelle etwas geändert hat? Ich verwende seit ca. vier Jahren den freien Mail-Account und bisher hat das problemlos funktioniert.

Kind regards,

Yves

PowerMac

Soeben habe ich die Certs angeschaut, konnte aber keine Unregelmässigkeiten feststellen. Die Zertifikate fürs Webmail (richzhb.bluewin.ch), IMAP (imaps.bluewin.ch) und SMTP (smtpauths.bluewin.ch) sind alle mit einem von Thawte signierten Zertifikat versehen. Möglich, dass es da eine Änderung gab, aber wenn die betriebssystemseitigen Root-Certs auf einem aktuellen Stand sind, sollte dies für den Client nicht bemerkbar sein. Bezieht sich deine Feststellung auf POP, IMAP oder SMTP?

Was meinst du mit dem Satz: "Auch das automatische Updaten der Zertifikate funktioniert bei bluewin nicht mehr."? Updates der Root-Certs sind grundsätzlich Sache des Betriebssystems.

StarWarsFan

Hi,

vielen Dank für die Antwort. Meine Probleme bestehen beim Versand via smtp via smtpauths.bluewin.ch. In meiner Distribution (eisfair.org) gibt es im Mail-Package eine Funktion, mit welcher die Fingerprints und Zertifikate der verwendeten Konten aktualisiert werden können. Das sieht im Output für fetchmail so aus:

Requesting pop/imap certificates

Server: pop3.web.de
No port given; assuming port 110
Downloading certificate
Certificate downloaded
No fingerprint update needed
Server: pop3s.bluewin.ch
No port given; assuming port 110
Downloading certificate
Error downloading certificate; switching to port 995
Error downloading certificate, port correct? Fingerprint update not possible
Server: pop.gmx.net
No port given; assuming port 110
Downloading certificate
Certificate downloaded
No fingerprint update needed
...

Beim Update der Zertifikate für exim sieht's so aus:

Requesting smtp certificates

Server: smtpauths.bluewin.ch
Downloading certificate
Trying port: 465: Error downloading certificate
Trying port: 587: Error downloading certificate
Trying port: 25: Error downloading certificate
Server: mail.gmx.net
Downloading certificate
Trying port: 465: Certificate downloaded
Updating CRLs
Server: smtp.gmail.com
Downloading certificate
Trying port: 465: Certificate downloaded
Updating CRLs
...

Wenn ich via openssl direkt nachschaue, dann bekomme ich aber das Zertifikat angezeigt:

# openssl s_client -connect smtpauths.bluewin.ch:465 -showcerts
CONNECTED(00000003)
depth=2 /C=US/O=thawte, Inc./OU=Certification Services Division/OU=(c) 2006 thawte, Inc. - For authorized use only/CN=thawte Primary Root CA
verify error:num=20:unable to get local issuer certificate

verify return:0

Certificate chain
0 s:/C=CH/ST=Bern/L=Worblaufen/O=Swisscom (Schweiz) AG/OU=IT/CN=smtpauths.bluewin.ch
i:/C=US/O=Thawte, Inc./CN=Thawte SSL CA
-----BEGIN CERTIFICATE-----
MIIEsDCCA5igAwIBAgIQSILaX4R4oDLZpJaV8jrfUDANBgkqhkiG9w0BAQUFADA8
MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMVGhhd3RlLCBJbmMuMRYwFAYDVQQDEw1U
aGF3dGUgU1NMIENBMB4XDTEzMTEyNjAwMDAwMFoXDTE2MTEyNTIzNTk1OVowfTEL
...

Damit klemmt also irgendetwas beim Abruf sowohl via pop3s.bluewin.ch als auch via smtpauths.bluewin.ch. Weitere Ideen dazu?

PowerMac

Deine Fehlereingrenzung ist schon mal sehr gut. Ich hab das auf anderen Systemen nachgeprüft und komme zu ähnlichen Ergebnissen wie du. Vermutlich geht bei der Überprüfung der Zertifizierungskette etwas schief. Ich nehme an, dass du zum Einsammeln der Mails die Software fetchmail verwendest. Vielleicht handelt es sich bei deinem Problem um das hier? Allerdings bin ich auf dem Gebiet zuwenig trittfest, um dir eine verlässliche Antwort geben zu können. Evt. meldet sich hier noch jemand, der sich auf dem Gebiet besser auskennt.

hed

@StarWarsFan

Nur der Vollständigkeit halber: Ist die Uhrzeit auf Deinem Mailserver korrekt und stimmen Timezone und Sommerzeiteinstellung? Im Juli 2015 sind mehrere Zertifikate abgeloffen und die können u.a. nur bei korrekter Urzeit/Zeitstempel wieder erneuert werden.

StarWarsFan

bzgl. Zeit und Timezone bekomme ich folgenden Output:

$ date
Mon Jul 13 15:36:03 CEST 2015

Die Uhrzeit stimmt auf jeden Fall und CEST ist m.M.n. auch korrekt. Andere Ideen?

StarWarsFan

@PowerMac schrieb:

Vielleicht handelt es sich bei deinem Problem um das hier? Allerdings bin ich auf dem Gebiet zuwenig trittfest, um dir eine verlässliche Antwort geben zu können. Evt. meldet sich hier noch jemand, der sich auf dem Gebiet besser auskennt.

Danke für die Idee aber das Problem ist es leider nicht. Das ReHashing mache ich bei Updates der Zertifikate regelmässig.

SamuelD

Hallo zusammen

Wir haben unsere Zertifikat-Chains überprüft und keine Probleme festgestellt. Möglicherweise liegt die Ursache beim Validierungsprozess der exim-Komponente, dies können wir leider nicht prüfen.

Liebe Grüsse

SamuelD

Swisscom