freenet.de certificate signature failure

[Heiko L.]

Hallo,

Ich wurde heut frueh um Hilfe gebeten,
weil freenet ploetzlich Fehlermeldungen bringt.

Hier die Diagnose:


Problem: freenet.de certificate signature failure
erstes auftreten: Apr 12 07 uhr

Patient:
$ fetchmail -v
fetchmail: 6.3.9-rc2 querying mx.freenet.de (protocol POP3) at Sat Apr 12 19:07:13 2014: poll started
Trying to connect to 195.4.92.211/110...connected.
fetchmail: POP3< +OK <3396.13...@mx.freenet.de>
fetchmail: POP3> CAPA
fetchmail: POP3< +OK
fetchmail: POP3< TOP
fetchmail: POP3< UIDL
fetchmail: POP3< USER
fetchmail: POP3< XAUTHLIST
fetchmail: POP3< XSENDER
fetchmail: POP3< STLS
fetchmail: POP3< .
fetchmail: POP3> STLS
fetchmail: POP3< +OK Begin TLS negotiation now
fetchmail: Server certificate verification error: certificate signature failure
fetchmail: Issuer Organization: T-Systems International GmbH
fetchmail: Issuer CommonName: TeleSec ServerPass DE-2
fetchmail: Server CommonName: *.freenet.de
fetchmail: Subject Alternative Name: *.freenet.de
fetchmail: mx.freenet.de key fingerprint: 4F:46:9E:96:C5:2F:DF:A1:66:E9:65:9F:B6:60:71:A8
fetchmail: POP3> CAPA
fetchmail: POP3< +OK
...

Der CN sieht merkwuerdig aus, das schauen wir uns mal genauer an:

$ tmpfile=/tmp/crt.diag
$ openssl s_client -connect mx.freenet.de:995 -showcerts > $tmpfile

$ egrep "s:|i:" $tmpfile
0 s:/C=DE/O=freenet.de GmbH/ST=Hamburg/L=Hamburg/emailAddress=ab...@freenet.de/CN=*.freenet.de
i:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/streetAddress=Untere Industriestr. 20/CN=TeleSec ServerPass DE-2
1 s:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/streetAddress=Untere Industriestr. 20/CN=TeleSec ServerPass DE-2
i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
2 s:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2


$ openssl x509 -text -in $tmpfile | egrep "Subject:|Not.*:"
Not Before: Apr 10 15:08:49 2014 GMT
Not After : Apr 15 23:59:59 2017 GMT
Subject: C=DE, O=freenet.de GmbH, ST=Hamburg, L=Hamburg/emailAddress=ab...@freenet.de, CN=*.freenet.de


- Zusammenfassung:
- CRT am 10.04. bekommen und am 12.04. aktiviert.
- CN enthaelt ungueltiges Zeichen (meiner Meinung nach)
- zeitl. Zusammenhang mit heartbleed


Was meinen die Spezialisten dazu?

Eigentlich waere die Meldung wohl in dasr besser aufgehoben....


Glueck Auf!
HL

[Juergen P. Meier]

Heiko L. <hleh...@nomail.fh-lausitz.de>:

> Problem: freenet.de certificate signature failure
> erstes auftreten: Apr 12 07 uhr
>

> fetchmail: POP3< +OK Begin TLS negotiation now
> fetchmail: Server certificate verification error: certificate signature failure

> fetchmail: Issuer Organization: T-Systems International GmbH
> fetchmail: Issuer CommonName: TeleSec ServerPass DE-2
> fetchmail: Server CommonName: *.freenet.de
> fetchmail: Subject Alternative Name: *.freenet.de

T-Systems. SAN identisch zum CN. Profis.

> fetchmail: mx.freenet.de key fingerprint: 4F:46:9E:96:C5:2F:DF:A1:66:E9:65:9F:B6:60:71:A8
>

> Der CN sieht merkwuerdig aus, das schauen wir uns mal genauer an:

Wieso?

> $ egrep "s:|i:" $tmpfile
> 0 s:/C=DE/O=freenet.de GmbH/ST=Hamburg/L=Hamburg/emailAddress=ab...@freenet.de/CN=*.freenet.de
> i:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/streetAddress=Untere Industriestr. 20/CN=TeleSec ServerPass DE-2
> 1 s:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/streetAddress=Untere Industriestr. 20/CN=TeleSec ServerPass DE-2
> i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
> 2 s:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
> i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2

Sieht passend aus. Die komplette Chain bekommste auch frei haus.

> $ openssl x509 -text -in $tmpfile | egrep "Subject:|Not.*:"
> Not Before: Apr 10 15:08:49 2014 GMT
> Not After : Apr 15 23:59:59 2017 GMT

Gueltig fuer 3 Jahre... Das war teuer.

> Subject: C=DE, O=freenet.de GmbH, ST=Hamburg, L=Hamburg/emailAddress=ab...@freenet.de, CN=*.freenet.de
>
> - Zusammenfassung:
> - CRT am 10.04. bekommen und am 12.04. aktiviert.
> - CN enthaelt ungueltiges Zeichen (meiner Meinung nach)

Wo soll da ein ungueltiges Zeichen sein?

> - zeitl. Zusammenhang mit heartbleed

Spekulation.... ... ....

> Was meinen die Spezialisten dazu?

Du vertraust der CA wohl nicht (deswegen meckert fetchmail). Nicht dass das
was schlimmes ist.

[Heiko L.]

"Juergen P. Meier" <nospa...@jors.net> writes:

Danke fuer die Antworten.
Da war ich wohl zu vorschnell.

>
> Wo soll da ein ungueltiges Zeichen sein?

Mir war neu, dass wildcards erlaubt sind...

Der Hinweis v. hschlen brachte mich auf die richtige Spur.
Es lag es an der Clientversion.
fetchmail: 6.3.18 bringt diese Warnung nicht.

>
>> - zeitl. Zusammenhang mit heartbleed
>
> Spekulation.... ... ....

vielleicht auch nicht (mehr), s. [4].


Heiko

[4] http://www.zdnet.de/88190491/heartbleed-bug-deutsche-provider-patchen-mail-server/
Heartbleed-Bug: Deutsche Provider patchen Mail-Server
von Kai Schmerer am 11. April 2014, 18:34 Uhr
...Stand 12.4.2014...


--
Je höher die Dienststellung des DAUs, desto größer ist der Mut, Scheiße
zu bauen.