Dovecot, selbstsigniertes Zertifikat & Thunderbird

Picus

Lt. Commander
Registriert
März 2011
Beiträge
1.087
Hallo zusammen,

ich habe Postfix und Dovecot auf meinem Debian Server installiert. Senden und Empfangen von Emails funktioniert jetzt schon einmal (im Terminal getestet).

Leider kann ich jedoch kein Email-Konto in Thunderbird hinzufügen. Jedes Mal erhalte ich folgende Fehlermeldung:
Fehler: mail.beispiel.de:143 verwendet ein ungültiges Sicherheitszertifikat.
Dem Zertifikat wird nicht vertraut, weil es vom Aussteller selbst signiert wurde.
Fehlercode: SEC_ERROR_UNKNOWN_ISSUER

Das wundert mich nicht, denn das Zertifikat ist schließlich selbstsigniert. Also versuche ich das Zertifikat in Thunderbird als .p12 zu importieren, doch die Meldung erscheint immer wieder und das Postfach lädt nicht.

Dovecot wirft dabei folgenden Fehler in den Logs:
TLS: SSL_read() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48

Wieso akzeptiert Thunderbird das Zertifikat nicht, selbst wenn ich es als Ausnahme hinzufüge?
 
Mit dem zum Zertifikat passenden Root CA sollte es gehen. Bei Mozilla sind da bzgl. unsicherer SSL/TLS Verbindungen mittlerweile recht hihe Hürden. Wenn du an das Root CA nicht ran kommst, erstelle dir ein Zertifikat bei einem freien Anbieter, gibt genügend, und importiere dere CA, falls nicht schon vorhanden. Selbst signiert ist immer häufiger ein Problem.
 
Selbst erstellte und damit selbst signierte Zertifikate sind die einzigen Zertifikate denen man selbst im vollem Umfang trauen kann.

Es sind auch die Zertifikate, denen ansonst kein anderer trauen kann.

Trotzdem finde ich die Vorgehensweise von Google und Mozilla bedenklich, selbst signierte Zertifikate zu verteufeln. Goggle erstellt selbst Zertifikate und Mozilla ist dick im CA Geschäft involviert. Letztendlich kann man keinem CA trauen. Außerdem dem eigenen.

Schon komisch. Kaum entdecken Endnutzer Krypto für sich, schon sorgen Konzerne dafür, dass es so nicht genutzt werden kann. Das gibt mir zu denken.

Zertifikat mit eigener CA erzeugen und die CA auf seinem System installieren? Wenn ich für die eine oder anderen Anwendung neue CAs nachinstallieren muss, sollte das auch für die eigene gehen.
 
Wie Nicht ich schon geschrieben hat: Du musst die zugehörige Root CA importieren. Dann erkennt Thunderbird auch Deine selbstsignierten Zertifikate an. Das funktioniert wunderbar. Habe ich selbst auch schon gemacht.
 
Hi,

wieso nicht ein echtes Zertifikat installieren? Dauert keine Sekunde länger als ein selbstsigniertes und man hat keinerlei Probleme. Kann ich nicht verstehen wieso man heute - außer zu Testzwecken auf einem lokalen System - noch mit selbstsignierten Zertifikaten unterwegs ist.

VG,
Mad
 
Weil ich meine CA sauberer betreibe, als das zB Comodo und Konsorten machen.
Weil ich mir vertrauen kann, den etablierten CAs evtl nicht. Ist nichts falsch dran, self signed Certs zu nutzen.

Der Trust ist nur nicht so bequem.
 
Aber nur für selbst genutzte Dienste, wenn ich jetzt einen Dienst von dir nutzen soll mit selbst signierten Zertifikaten, weiß ich nicht ob das vertrauenswürdiger ist. Und das Root-CA bei vielen Geräten wurde auch schon vom Hersteller vorinstalliert, z.B. NAS oder Fritzbox oder oder oder. Ist jetzt dieses vertrauenswürdiger? Auch wenn ihr mich jetzt schlagen werdet, aber es gibt auch noch Cacert.org als non-profit Alternative zu dem Rest, auch wenn das ein scheinbar zerstrittener Haufen ist.

Klar per se ist selbst signiert nicht unsicher, aber wenn halt das Root CA fehlt oder andere Fehler in der Schlüsselkette sind, dann kann das auch eine Man-in-the-middle-attack o.ä. sein. Und wenn ich den Dienst nicht selbst nutze und gleichzeitig betreibe weiß ich das nicht.
Und als die Browser noch nicht so viel gemeckert haben, war es z.B. ein leichtes im öffentlichen WLAN entsprechende Spoofing Attacken zu fahren.
 
Zuletzt bearbeitet:
Hi,

@wirelessy

das ist doch viel zu kurz gedacht! Das stimmt vielleicht - wie ich es ja auch schon geschrieben hatte - für Testsysteme. Aber für ein Produktivsystem? Ganz sicher nicht.

Es hat einen Grund, warum man diesen CAs vertraut. Natürlich gibt es darunter auch welche, die schlechter sind als andere, gar keine Frage! Aber der Großteil sollte doch seriös und sicher sein. Und zumindest gibt es die Chain of Trust. Bei dir behauptest nur du, dass das sicher ist. Das kann mir niemand sonst bestätigen.

Geht im professionellen und gewerblichen Umfeld einfach gar nicht.

Weil ich mir vertrauen kann, den etablierten CAs evtl nicht.

wieso sollte man dir mehr vertrauen als einem CA? Und warum kannst du denen evtl. nicht vertrauen?

VG,
Mad
 
"Chain of trust"? Welche Chain hab ich denn? Die Chain sieht aktuell so aus: "OS/Browser Vendor vertraut Liste X, also vertrau ich auch Liste X". Der Trust basiert auf CPS, welches die CAs publishen.

Ein solches CPS hat meine Privat-CA auch. Damit kann ich auch externen meine Vertrauenswürdigkeit belegen. So entstandener und selbst überprüfbarer Trust ist imo mehr wert als "CA ist auf Liste X, also vertrau ich ihr".

Aber ja, für ein breiteres Publikum empfehlen sich öffentliche CAs. Sag ich nichts gegen - wegen der Einfachheit der Handhabung. Vertrauenswürdiger als viele Privat-CAs sind die nicht.
 
Hi,

So entstandener und selbst überprüfbarer Trust ist imo mehr wert als "CA ist auf Liste X, also vertrau ich ihr".

"imo" ist hier wohl der wichtige Satzbestandteil! Deine Meinung. Auf die kann ich aber nicht zählen, weil nur du behauptest, ich könne dir vertrauen. Niemand sonst kann das belegen. Daher ist es relativ sinnfrei, weil es ein klassisches "Hund jagt Schwanz" Problem ist.

- Ich vertraue dir nicht
- Du sagst, ich kann dir vertrauen
- Dem Satz, dass ich dir vertrauen kann, müsste ich erst einmal blind vertrauen
- Siehe Liste Punkt 1

Daher "empfehlen" sich nicht nur öffentliche CAs, sie sind unabdingbar.

Vertrauenswürdiger als viele Privat-CAs sind die nicht.

Dir und deinen eigenen Zertifikaten mag das genügen. Sofern ich dir aber erst einmal nicht vertraue muss ich mich auf etwas verlassen. Und da verlasse ich mich dann vernünftigerweise natürlich auf etwas, worauf sich Millionen andere Leute auch verlassen und nicht auf deine Aussage.

Der Sonderfall "ich vertraue mir selbst" ist schön und gut, aber diesen Sonderfall wird kein kommerzielles Massenprodukt abbilden können und wollen. Und das aus gutem Grund!

VG,
Mad
 
Der TE betreibt Dovecot zu Hause mit Thunderbird. Daher ist es vollkommen irrelevant, wer den Zertifikaten traut solange es der TE tut. Im übrigen kenne ich nicht ganz kleine Firmen, die CAs mit selbst erstelltem Root Zertifikat betreiben. Natürlich nur für interne, nicht öffentlich zugängliche Dienste. Geht sehr gut, solange man Kontrolle über alle Clients hat.

Ich benutze Thunderbird selbst nicht, aber vermutlich muss man das Zertifikat so hinzufügen wie hier beschrieben: http://support.centennialarts.com/adding-root-certificate-authority-to-thunderbird-email-client/

Wer übrigens Zertifikate von Symantec hat, sollte sich schleunigst überlegen, die zu ersetzen, bevor sie Google aus Chrome rausschmeißt.
 
Hi,

Natürlich nur für interne, nicht öffentlich zugängliche Dienste. Geht sehr gut, solange man Kontrolle über alle Clients hat.

habe ich ja auch geschrieben! Siehe oben!

Wenn man interne Systeme betreibt und diese ggf. auch selbst entwickelt spricht auch nichts dagegen. Aber ich kann nicht den Spezialfall "ich will meinem eigenen Zertifikat ohne CA vertrauen" von Standardlösungen erwarten! Dafür ist das viel zu riskant und bietet ggf. Einfalssmöglichkeiten für Betrugsversuche. Dass an der Stelle "nur" den großen CAs vertraut wird sollte doch irgendwo klar sein, und dass es dann Mehraufwand wird, wenn ich das erweitern will, auch.

Ich bleibe bei der Aussage: mittlerweile gibt es keine Argumente mehr, die gegen ein CA Zert sprechen. Früher war das der Preis, das zieht mittlerweile aber nicht mehr.

VG,
Mad
 
Ich kenne unter Linux keine einzige "Standardlösung", für die man nicht das Vertrauen für eigene Zertifikate konfigurieren könnte. Der ursprünglich gefragte Thunderbird hat sogar eine GUI dafür. Und die meisten verlassen sich sowieso auf OpenSSL o.ä. und da importiert man das einmal in den systemweiten Truststore und hat 95% aller installierter Software schon abgedeckt. Und ja, ich halte selbstsignierte Zertifikate, die ich für meinen internen Krempel verwende, für wesentlich vertrauenswürdiger als die von schlampig verwalteten CAs wie Symantec. Mal ganz abgesehen davon, dass man externe Zertifikate nur für öffentlich sichtbare Domänen bekommen kann.
 
Hi,

Ich kenne unter Linux keine einzige "Standardlösung", für die man nicht das Vertrauen für eigene Zertifikate konfigurieren könnte.

ich kenne keine Lösung, bei der es default ist. Sprich: es ist für mich ein Mehraufwand, wenn ich das möchte. Und jetzt lies bitte einen Post weiter oben:

und dass es dann Mehraufwand wird, wenn ich das erweitern will, auch.

genau das hatte ich geschrieben.

Der ursprünglich gefragte Thunderbird hat sogar eine GUI dafür.

der ursprünglich gefragt Thunderbird macht aber eben aktuell scheinbar nicht das, was der TE braucht, das ist ein Fakt.

wesentlich vertrauenswürdiger als die von schlampig verwalteten CAs wie Symantec

stimmt, weil mal einer oder zwei hier Probleme machen sind alle automatisch nicht mehr zu gebrauchen. Wir sollten lieber alle und jeder self-signed nutzen, jedes Unternehmen, jeder Hersteller, alles nur self-signed. Und damit wir am Ende noch wissen, wem wir vertrauen können organisieren wir das einfach zentral an ein paar Stellen... oh wait!

VG,
Mad
 
fax668 schrieb:
Der TE betreibt Dovecot zu Hause mit Thunderbird. Daher ist es vollkommen irrelevant, wer den Zertifikaten traut solange es der TE tut.
Genau das denke ich mir auch.

Also wie es aussieht brauch ich noch ein Root Zertifikat. Dann werd ich mal schauen, dass ich da eins erstelle.

Ansonsten... ja, ich könnte mir auch einfach mit letsencrypt ein signiertes Zertifikat besorgen.
 
Zurück
Oben