web.de E-Mail: Zertifikat ungültig?

[moonwalker99]

Hallo @alle
Wenn ich bei web.de über pop3.web.de:110 meine E-Mails abrufen möchte, dann erscheint im Thunderbird die Meldung, dass das Zertifikat ungültig ist. Was hat es damit auf sich? Ich habe von SSL keine Ahnung, bisher klappte alles immer problemlos.

 

[miac]

Nutzt Du Avast?

 

[moonwalker99]

Nutzt Du Avast?

Nein. Gar keinen Virenscanner.

 

[muesler]

Kein Virenschutz: schlechte Idee...

Schau mal auf web.de nach, ob die (wie viele andere Anbieter) evtl. auf TSL umgestellt haben. Wenn ja, dann gibt es dort mit sicherheit eine Anleitung, was Du an deinem Rechner anpassen musst...

 

[DarkStarXxX]

Über Port 110 geht schon seit Jahresanfang nix mehr.
Du musst auf SSL umstellen.

 

[Gleipnir]

https://hilfe.web.de/sicherheit/ssl.html#thunderbirdtls

der normale Abruf wird (oder wurde) abgeschalten

das Anfang 2014 der normale Abruf abgeschalten wird wurde letztes Jahr doch mind. 1x pro Woche mitgeteilt

 

[Insanic]

das Anfang 2014 der normale Abruf abgeschalten wird wurde letztes Jahr doch mind. 1x pro Woche mitgeteilt

Nicht nur das, jeder Anwender der über pop abruft (ich auch) hat eine eMail dazu erhalten, sogar mit Anleitung

 

[designerhack]

Über Port 110 geht schon seit Jahresanfang nix mehr.
Du musst auf SSL umstellen.

2014 endlich SSL ... HAHAHAHAHAHA!



am Besten du suchst dir einen anderen mailanbieter... kein yahoo/web/freenet Mist...

 

[Gleipnir]

das meine ich ja, es kam mind 1x die Woche die Mail die einem sagte das Anfang 2014 der unverschlüsselte Abruf angeschalten wird und man ruhig jetzt schon umstellen sollte

@designerhack

SSL geht schon länger, es wird jetzt der unverschlüsselte Abruf abgeschalten und nur noch SSL unterstützt

 

[miac]

@designerhack

Was schlägst Du denn vor? t-online, google oder gmx?

Web.de hat schon vorher SSL angeboten und stellt auch kostenlos ein Verschlüsselungs-Zertifikat zur Verfügung.

Aber Hauptsache erstmal draufhauen, wenn man sich schon nicht damit beschäftigt hat.

 

[DaZpoon]

In der aktuellen ct' gibts einen guten Test bzgl. eMail Provider.

Aber das Zertifikatsproblem habe ich auch, vor allem auf dem Handy. Das Zertifikat wird als nicht vertrauenswürdig eingestuft da unbekannte CA.

Das heißt: Die Verschlüsselung an sich funktioniert, es ist aber nicht sichergestellt dass der Verschlüsselungspartner derjenige ist mit dem man sich unterhalten mag. Das ist natürlich ziemlich großer Müll und Web.de würde gutes daran tun entweder ordentliche CA's zu verwenden oder zumindest die Prüfsummen seines Zertifikats auf der Homepage zu nennen. Hier mal die SHA1 des Zertifikats für imap.web.de (TLS/SSL) welches mein Handy moniert:
6D40 7C51 22ED 5400 21A6 4B38 A852 1FF2 71AE 3266

Edit: Apropos SSL, man sollte sich mal tunlichst damit beschäftigen und dann stellt man fest dass fast alle Browser TLSv1.2 deaktiviert haben (warum auch immer), der Firefox (Thunderbird) nimmt teils sogar noch RC4 Verbindungen bevorzugt an.

 

[miac]

Das Zertifikat muß Du natürlich als vertrauensvolles akzeptieren. Das ist aber bei jedem Zertifikat so, welches nicht schon über die offiziellen, kostenpflichtigen Zertifikatsersteller signiert ist.

 

[Helge01]

Edit: Apropos SSL, man sollte sich mal tunlichst damit beschäftigen und dann stellt man fest dass fast alle Browser TLSv1.2 deaktiviert haben (warum auch immer), der Firefox (Thunderbird) nimmt teils sogar noch RC4 Verbindungen bevorzugt an.

Das wird am verwendeten Protokoll liegen. Bei < TLS 1.1 und in allen SSL-Versionen sollte RC4 verwendet werden, da es ein geringeres Übel darstellt. Die Schwachstelle in SSL/TLS 1.0 (s. BEAST) ist schwerwiegender.

 

[DaZpoon]

Das wird am verwendeten Protokoll liegen. Bei < TLS 1.1 und in allen SSL-Versionen sollte RC4 verwendet werden, da es ein geringeres Übel darstellt. Die Schwachstelle in SSL/TLS 1.0 (s. BEAST) ist schwerwiegender.

Richtig. Als ich das eben neulich an meinem eigenen Server ausprobiert habe haben fast alle Browser lieber TLSv1.0 verwendet. Bei Opera muss man >1.0 sogar erst explizit aktivieren (und dabei gleich mal SSL3 deaktivieren). Danach nahm er brav TLSv1.2. Bei FireFox/Thunderbird habe ich die RC4 Suiten deaktiviert, anschließend wurde auch da bevorzugt TLSv1.2 mit AES verwendet. Ist natürlich langsamer, das wärs mir aber Wert.

Egal, darum ging es in dem Thread auch nicht. Wichtiger: Kann jemand den Fingerprint da oben bestätigen?
@miac: Wenn ich einfach so jedem Zertifikat vertraue dann kann man sich die Verschlüsselung auch schenken.

 

[M-X]

Seit ihr sicher das Web.de ein selbst signiertes Zertifikat verwendet? Kann ja wohl nicht sein oder?

 

[miac]

Das Zertifikatswesen funktioniert ähnlich, wie bei PGP.

Verisign und Co sind eben im Verteilungspool von Microsoft. Web.de aber nicht.

Das hat nichts mit sicher oder unsicher zu tun. Wenn Du weißt, daß es von WEB.de ist, ist es auch sicher. Genau wie der öffentliche Schlüssel deines PGP.

 

[M-X]

Danke für die Erklärung des SSL Systems......
Natürlich kann jeder hans und kuns ne CA aufstellen aber das Web.de zu geizig ist sich ein Cert zu holen hat mich so verwundert.

 

[DaZpoon]

Naja die CA ist wohl eine eigene und der wird nicht von jeder Root-CA vertraut.

Ergänzung (4. Februar 2014)

Wenn Du weißt, daß es von WEB.de ist, ist es auch sicher. Genau wie der öffentliche Schlüssel deines PGP.

Richtig, und das muss man erstmal wissen. Würden die die Prüfsummen irgendwo veröffentlichen (ist zwar ebenfalls unsicher) dann wärs ja machbar, aber so muss man einfach dran glauben dass man nicht gerade mit Obama spricht. Das ist eher sinnfrei. Man kann zwar die Root-Zertifikate von web.de in seinem OS installieren, aber das klappt leider in meinem Handy nicht.

 

[miac]

Google mal nach Root-Zertifikat Web.de

Vielleicht solltest Du dich mal damit auseinandersetzen, wie das generell, auch bei Firmenzertifikaten gemacht wird.

Die sind nicht alle Kunden von Verisign...

 

[Gleipnir]

bei der Web Seite steht Thawte Inc. als Aussteller

Browser und TLS, man kann v1.2 zwar aktivieren bringt nur nicht viel