Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Aquamail meldet geaendertes SSL-Zertifikat
76 views
Skip to first unread message
Alexander Goetzenstein
Aug 25, 2016, 6:09:28 AM8/25/16
to
Hallo,
Aquamail begrüßt mich seit heute mit einer deutlichen Warnmeldung
"SSL Zertifikat geändert: imap.web.de:993"
Was muss ich nun tun, wie prüfe ich, ob das alles seine Richtigkeit hat?
--
Gruß
Alex
Aquamail begrüßt mich seit heute mit einer deutlichen Warnmeldung
"SSL Zertifikat geändert: imap.web.de:993"
Was muss ich nun tun, wie prüfe ich, ob das alles seine Richtigkeit hat?
--
Gruß
Alex
Ralph Stahl
Aug 26, 2016, 10:35:21 AM8/26/16
to
Alexander Goetzenstein schrieb:
Ich denke, da kann man einfach zustimmen. Ich erinnere mich gar nicht:
kann man sich das Zertifikat anzeigen lassen? Wenn, dann steht da der
Inhaber, den kannste vergleichen. Den Macher von Aquamail halte ich für
seriös, ich benutze das auch und hatte den Hinweis auch. Das bedeutet
doch nur, dass es nicht heimlich gemacht wird.
Ralph
kann man sich das Zertifikat anzeigen lassen? Wenn, dann steht da der
Inhaber, den kannste vergleichen. Den Macher von Aquamail halte ich für
seriös, ich benutze das auch und hatte den Hinweis auch. Das bedeutet
doch nur, dass es nicht heimlich gemacht wird.
Ralph
Thomas Hochstein
Aug 26, 2016, 2:15:02 PM8/26/16
to
Ralph Stahl schrieb:
> Alexander Goetzenstein schrieb:
>> Hallo, Aquamail begrüßt mich seit heute mit einer deutlichen
>> Warnmeldung "SSL Zertifikat geändert: imap.web.de:993"
>> Was muss ich nun tun, wie prüfe ich, ob das alles seine Richtigkeit
>> hat?
>
> Ich denke, da kann man einfach zustimmen.
Sehr sinnig.
> Ich erinnere mich gar nicht:
> kann man sich das Zertifikat anzeigen lassen? Wenn, dann steht da der
> Inhaber, den kannste vergleichen.
Das hilft ja nun nichts; dass der angebliche (!) Inhaber - und nur den
kann man sich anzeigen lassen - passt, dürfte ja nun zu erwarten sein.
Zweck von SSL-Zertifikaten ist aber - neben der Verschlüsselung - auch
die Überprüfung, ob man tatsächlich (!) mit imap.web.de verbunden ist
und nicht nur mit einem Server, der einem untergeschoben werden soll.
> Den Macher von Aquamail halte ich für
> seriös, ich benutze das auch und hatte den Hinweis auch. Das bedeutet
> doch nur, dass es nicht heimlich gemacht wird.
Jetzt kann ich Dir endgültig nicht mehr folgen.
-thh
> Alexander Goetzenstein schrieb:
>> Hallo, Aquamail begrüßt mich seit heute mit einer deutlichen
>> Warnmeldung "SSL Zertifikat geändert: imap.web.de:993"
>> Was muss ich nun tun, wie prüfe ich, ob das alles seine Richtigkeit
>> hat?
>
> Ich denke, da kann man einfach zustimmen.
> Ich erinnere mich gar nicht:
> kann man sich das Zertifikat anzeigen lassen? Wenn, dann steht da der
> Inhaber, den kannste vergleichen.
kann man sich anzeigen lassen - passt, dürfte ja nun zu erwarten sein.
Zweck von SSL-Zertifikaten ist aber - neben der Verschlüsselung - auch
die Überprüfung, ob man tatsächlich (!) mit imap.web.de verbunden ist
und nicht nur mit einem Server, der einem untergeschoben werden soll.
> Den Macher von Aquamail halte ich für
> seriös, ich benutze das auch und hatte den Hinweis auch. Das bedeutet
> doch nur, dass es nicht heimlich gemacht wird.
-thh
Alexander Goetzenstein
Aug 26, 2016, 3:25:06 PM8/26/16
to
Hallo,
Am 26.08.2016 um 19:55 schrieb Thomas Hochstein:
> Ralph Stahl schrieb:
>> Alexander Goetzenstein schrieb:
>> Ich erinnere mich gar nicht:
>> kann man sich das Zertifikat anzeigen lassen? Wenn, dann steht da der
>> Inhaber, den kannste vergleichen.
> Das hilft ja nun nichts; dass der angebliche (!) Inhaber - und nur den
> kann man sich anzeigen lassen - passt, dürfte ja nun zu erwarten sein.
> Zweck von SSL-Zertifikaten ist aber - neben der Verschlüsselung - auch
> die Überprüfung, ob man tatsächlich (!) mit imap.web.de verbunden ist
> und nicht nur mit einem Server, der einem untergeschoben werden soll.
Genau das war mein Gedanke. Ein ungeprüfter Schlüssel ist so etwas wie
ein ungeprüftes Backup: kann funktionieren, muss es aber nicht, und was
davon zutrifft, erfährt man erst, wenn es zu spät ist...
>> Den Macher von Aquamail halte ich für
>> seriös, ich benutze das auch und hatte den Hinweis auch. Das bedeutet
>> doch nur, dass es nicht heimlich gemacht wird.
> Jetzt kann ich Dir endgültig nicht mehr folgen.
Er meint wohl, dass ich dem Schlüssel trauen kann, wenn ich dem
Entwickler von Aquamail traue. Dabei verwechselt er, dass das Eine mit
dem Anderen praktisch nichts zu tun hat: der Böse wäre nicht Aquamail,
sondern der, der mit einem gefälschten Schlüssel die Kommunikation
aufbrechen will; das ist in aller Regel ein ganz Anderer.
--
Gruß
Alex
Am 26.08.2016 um 19:55 schrieb Thomas Hochstein:
> Ralph Stahl schrieb:
>> Alexander Goetzenstein schrieb:
>>> Was muss ich nun tun, wie prüfe ich, ob das alles seine Richtigkeit
>>> hat?
>> Ich denke, da kann man einfach zustimmen.
> Sehr sinnig.
Eben. Wenn ich das einfach tun wollte, hätte ich nicht zu fragen brauchen.
>>> hat?
>> Ich denke, da kann man einfach zustimmen.
> Sehr sinnig.
>> Ich erinnere mich gar nicht:
>> kann man sich das Zertifikat anzeigen lassen? Wenn, dann steht da der
>> Inhaber, den kannste vergleichen.
> Das hilft ja nun nichts; dass der angebliche (!) Inhaber - und nur den
> kann man sich anzeigen lassen - passt, dürfte ja nun zu erwarten sein.
> Zweck von SSL-Zertifikaten ist aber - neben der Verschlüsselung - auch
> die Überprüfung, ob man tatsächlich (!) mit imap.web.de verbunden ist
> und nicht nur mit einem Server, der einem untergeschoben werden soll.
ein ungeprüftes Backup: kann funktionieren, muss es aber nicht, und was
davon zutrifft, erfährt man erst, wenn es zu spät ist...
>> Den Macher von Aquamail halte ich für
>> seriös, ich benutze das auch und hatte den Hinweis auch. Das bedeutet
>> doch nur, dass es nicht heimlich gemacht wird.
> Jetzt kann ich Dir endgültig nicht mehr folgen.
Entwickler von Aquamail traue. Dabei verwechselt er, dass das Eine mit
dem Anderen praktisch nichts zu tun hat: der Böse wäre nicht Aquamail,
sondern der, der mit einem gefälschten Schlüssel die Kommunikation
aufbrechen will; das ist in aller Regel ein ganz Anderer.
--
Gruß
Alex
Ralph Stahl
Aug 28, 2016, 6:28:05 AM8/28/16
to
Alexander Goetzenstein schrieb:
Dann nimm nicht Aquamail. Ob andere Apps den Wechsel des Schlüssels
melden oder einfach nur mitmachen, weiß ich allerdings nicht. Das meinte
ich mit Vertrauen in die App. Mach mal nen Vorschlag, wie Du mit
Sicherheit prüfen willst, ob imap.web.de echt ist - mit einem vielleicht
ebenfalls gefälschten oder nur nicht zertifizierten Schlüssel? Irgendwo
muss das Vertrauen anfangen, sonst kann man digitalen Schriftwechsel
sein lassen und sich den Aluhut aufsetzen.
Ralph
melden oder einfach nur mitmachen, weiß ich allerdings nicht. Das meinte
ich mit Vertrauen in die App. Mach mal nen Vorschlag, wie Du mit
Sicherheit prüfen willst, ob imap.web.de echt ist - mit einem vielleicht
ebenfalls gefälschten oder nur nicht zertifizierten Schlüssel? Irgendwo
muss das Vertrauen anfangen, sonst kann man digitalen Schriftwechsel
sein lassen und sich den Aluhut aufsetzen.
Ralph
Jörg Tewes
Aug 28, 2016, 7:15:33 AM8/28/16
to
Ralph Stahl schrieb:
> Mach mal nen Vorschlag, wie Du mit Sicherheit prüfen willst, ob
> imap.web.de echt ist - mit einem vielleicht ebenfalls gefälschten
> oder nur nicht zertifizierten Schlüssel? Irgendwo muss das
> Vertrauen anfangen, sonst kann man digitalen Schriftwechsel sein
> lassen und sich den Aluhut aufsetzen.
Üblicherweise gibts einen Fingerprint auf der Website dessen der die
gesicherte Verbindung anbietet.
Bye Jörg
--
"You have always been here."
(Kosh (to Sheridan), "All Alone in the Night")
> Mach mal nen Vorschlag, wie Du mit Sicherheit prüfen willst, ob
> imap.web.de echt ist - mit einem vielleicht ebenfalls gefälschten
> oder nur nicht zertifizierten Schlüssel? Irgendwo muss das
> Vertrauen anfangen, sonst kann man digitalen Schriftwechsel sein
> lassen und sich den Aluhut aufsetzen.
gesicherte Verbindung anbietet.
Bye Jörg
--
"You have always been here."
(Kosh (to Sheridan), "All Alone in the Night")
Marc Haber
Aug 28, 2016, 11:10:33 AM8/28/16
to
Jörg Tewes <jogi...@gmx.net> wrote:
>Ralph Stahl schrieb:
>> Mach mal nen Vorschlag, wie Du mit Sicherheit prüfen willst, ob
>> imap.web.de echt ist - mit einem vielleicht ebenfalls gefälschten
>> oder nur nicht zertifizierten Schlüssel? Irgendwo muss das
>> Vertrauen anfangen, sonst kann man digitalen Schriftwechsel sein
>> lassen und sich den Aluhut aufsetzen.
>
>Üblicherweise gibts einen Fingerprint auf der Website dessen der die
>gesicherte Verbindung anbietet.
Den man ja genauso fälschen könnte, wenn man schon in der Lage ist
>Ralph Stahl schrieb:
>> Mach mal nen Vorschlag, wie Du mit Sicherheit prüfen willst, ob
>> imap.web.de echt ist - mit einem vielleicht ebenfalls gefälschten
>> oder nur nicht zertifizierten Schlüssel? Irgendwo muss das
>> Vertrauen anfangen, sonst kann man digitalen Schriftwechsel sein
>> lassen und sich den Aluhut aufsetzen.
>
>Üblicherweise gibts einen Fingerprint auf der Website dessen der die
>gesicherte Verbindung anbietet.
MitM zu spielen.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Arno Welzel
Aug 29, 2016, 1:57:17 AM8/29/16
to
ob das Zertifikat so korrekt ist.
Alternativ: Wenn Du das Zertifikat auf anderem Weg herunterladen kannst,
prüfe, ob es eine Kette bis zu einem Root-Zertifikat auf
<https://trust.web.de> gibt.
Wenn beides nicht möglich ist - wechsele den Anbieter.
--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de
http://fahrradzukunft.de
Arno Welzel
Aug 29, 2016, 2:02:18 AM8/29/16
to
Ralph Stahl schrieb am 2016-08-28 um 12:28:
[...]
einem Zertifikat für die jeweilige Verbindung. Andere Clients oder
Webbrowser vertrauen darauf, dass ein Zertifikat, dass von einer als
vertrauenswürdig bekannten CA signiert ist, ebenfalls vertrauenswürdig ist.
Was sicherer ist, kann man schlecht pauschal beurteilen - denn auch ein
manuell zu bestätigendes Zertifikat muss ja irgendwie überprüfbar sein.
> Sicherheit prüfen willst, ob imap.web.de echt ist - mit einem vielleicht
> ebenfalls gefälschten oder nur nicht zertifizierten Schlüssel? Irgendwo
[...]
Falsch - man prüft die Zertifikatskette bis zur CA. Das wäre das übliche
Verfahren.
> muss das Vertrauen anfangen, sonst kann man digitalen Schriftwechsel
> sein lassen und sich den Aluhut aufsetzen.
Üblicherweise beginnt das Vertrauen bei TLS im technischen Sinn bei
einer CA. Will man keiner CA vertrauen, muss man das Zertifikat manuell
prüfen - und das wäre bei web.de dann eben dort jemanden direkt
ansprechen und um Bestätigung bitten, dass das vorliegende Zertifikat
tatsächlich von web.de ausgestellt wurde und noch benutzt wird. Weil das
aber auf Dauer recht umständlich wird, hat man CAs eingeführt.
[...]
> Dann nimm nicht Aquamail. Ob andere Apps den Wechsel des Schlüssels
> melden oder einfach nur mitmachen, weiß ich allerdings nicht. Das meinte
> ich mit Vertrauen in die App. Mach mal nen Vorschlag, wie Du mit
Aquamail macht halt Zertifikats-Pinning, d.h. es vertraut nur genau
> melden oder einfach nur mitmachen, weiß ich allerdings nicht. Das meinte
> ich mit Vertrauen in die App. Mach mal nen Vorschlag, wie Du mit
einem Zertifikat für die jeweilige Verbindung. Andere Clients oder
Webbrowser vertrauen darauf, dass ein Zertifikat, dass von einer als
vertrauenswürdig bekannten CA signiert ist, ebenfalls vertrauenswürdig ist.
Was sicherer ist, kann man schlecht pauschal beurteilen - denn auch ein
manuell zu bestätigendes Zertifikat muss ja irgendwie überprüfbar sein.
> Sicherheit prüfen willst, ob imap.web.de echt ist - mit einem vielleicht
> ebenfalls gefälschten oder nur nicht zertifizierten Schlüssel? Irgendwo
Falsch - man prüft die Zertifikatskette bis zur CA. Das wäre das übliche
Verfahren.
> muss das Vertrauen anfangen, sonst kann man digitalen Schriftwechsel
> sein lassen und sich den Aluhut aufsetzen.
einer CA. Will man keiner CA vertrauen, muss man das Zertifikat manuell
prüfen - und das wäre bei web.de dann eben dort jemanden direkt
ansprechen und um Bestätigung bitten, dass das vorliegende Zertifikat
tatsächlich von web.de ausgestellt wurde und noch benutzt wird. Weil das
aber auf Dauer recht umständlich wird, hat man CAs eingeführt.
0 new messages