Plesk 12 - Self-Signed Email Certificate + Windows XP Clients

R

rulaman

Registered User
Hallo,

ein von mir auf meinem Rootserver selbst gezeichnetes Zertifikat für Email (Postfix/Courier), wird nach Zertifikat-Import auf Win Vista 64/Win 7 Systemen + Outlook 2007 ohne Probleme akzeptiert, nur auf allen unseren alten Windows XP Systemen erhalte ich trotz Zertifikat-Import beim Abrufen von Mails in Outlook 2007 folgende Meldung:

Code: 
Fehler (0x800CCC1A) beim Ausführen der Aufgabe "xxxxxx.de - Nachrichten werden empfangen": "Ihr Server unterstützt nicht den angegebene Verbindungsverschlüsselungstyp. Versuchen Sie, die Verschlüsselungsmethode zu ändern. Wenden Sie sich an Ihren Serveradministrator oder Internetdienstanbieter für weitere Unterstützung."

Vorrübergehend kann ich das Problem umgehen, wenn ich in den entsprechneden Kontooptionen 2x auf "Kontoeinstellungen testen" klicke (1. Mal: Fehler, 2. Mal Passwortabfrage und Connect). Danach funktioniert Outlook 2007 + Win XP perfekt mit dem Zertifikat, zumindest bis zum nächsten Neustart von Outlook (selbe Prozedur erneut nötig)

Das Problem tritt ausschließlich auf Windows XP Systemen + Outlook 2007 auf. Windows Vista 64, sowie Windows 7, mit Outlook 2007 und importiertem Zertifikat, machen keinerlei Probleme.

Woran könnte das liegen?
Danke
LG rulaman
 
Last edited by a moderator:
Gibt es eigentlich einen besonderen Grund, warum noch ein OS eingesetzt wird, das bereits seit 584 Tagen keine Sicherheitsupdates mehr durch den Hersteller erhält? Weil ich gehe jetzt nicht davon aus, dass es sich um einen gesonderten Vertrag oder ein Embedded-System handelt, die noch länger Updates erhalten.


MfG Christian
 
killerbees19 said:
Gibt es eigentlich einen besonderen Grund, warum noch ein OS eingesetzt wird, das bereits seit 584 Tagen keine Sicherheitsupdates mehr durch den Hersteller erhält? Weil ich gehe jetzt nicht davon aus, dass es sich um einen gesonderten Vertrag oder ein Embedded-System handelt, die noch länger Updates erhalten.
Click to expand...

Ich weiß nicht, warum es immer wieder Leute gibt, die, anstatt eine konstruktive und hilfreiche Antwort zu geben, das Benutzerverhalten des Fragestellers in Frage stellen…, vielleicht um einfach etwas geschrieben zu haben?
Ein Oldtimer Liebhaber muss sich ja wohl auch nicht rechtfertigen, warum er mit seiner alten Gurke und nicht mit einem Neuwagen herum fährt.

Schon mal daran gedacht, dass es Computerspiele und andere Software gibt, die auf den neuen Betriebssystemen nicht lauffähig sind? Aus diesem Grund fahre ich mit mehreren Betriebssystem Partitionen gleichzeitig. Auch wenn ich lieber Win7 verwende, ist es halt nicht immer möglich, und es ist auch nicht sehr praktisch, wenn man nur zum E-Mail abrufen in das andere System wechseln muss.
 
Last edited by a moderator:
Dein Problem hängt aber schon ursächlich damit zusammen, daß Du ein sehr altes Clientenbetriebssystem mit einem neueren und aktiv gepflegten Serverbetriebssystem zusammen betreiben willst.

Gerade in der Kryptographie-Infrastruktur gibt es in letzter Zeit (nicht zuletzt befeuert durch Enthüllungen über die Aktivitäten gewisser Geheimdienste) sehr dynamische Entwicklungen, wie man z.B. an dieser Nachricht (beispielhaft, ich glaube nicht, daß dies ursächlich für Dein Problem ist) sieht.

Jedenfalls gibt es gewisse Funktionen, die XP (und das auf dessen Kryptographieinfrastruktur aufbauende Outlook) nie beherrschen werden (SNI ist ein Beispiel, SHA2 ein anderes) und die Schnittmenge gemeinsamer Protokolle wird täglich (genauer gesagt mit jedem Sicherheitspatch) kleiner.
 
Ich denke Du hast Recht, es wird definitiv schwieriger und evtl. irgendwann kaum noch möglich sein, die Protokolle des alten XP kompatibel zu halten.

In meinem Fall konnte ich jetzt Abhilfe schaffen, funktioniert auch mit XP wieder.
Lösung war: TLS_PROTOCOL=SSL23

Danke.
Gruß,
rulaman
 
Whistler hat meine Hintergründe für den ersten Post eigentlich ziemlich auf den Punkt gebracht, Danke! Ich habe nichts gegen alte Systeme (ich nutze selbst noch ein XP System in einer VM), aber man sollte wissen, wo dessen Grenzen liegen. Und gerade im Bezug auf Internet/Sicherheit/Verschlüsselung ist es keine gute Idee, das weiter einzusetzen… ;)

Und auch wenn es Dir nicht gefällt, aber damit könntest Du es auch gleich unverschlüsselt laufen lassen. SSLv2/SSLv3 bietet keine echte Sicherheit mehr, das gilt als geknackt. Das ist eine Pseudo-Sicherheit, die Du dir damit zusammenbastelst. Damit schwächst Du eventuell auch die Verschlüsselung aller anderen modernen Clients ab, die zum gleichen Server verbinden.


MfG Christian
 
Dem kann eigentlich nichts mehr hinzugefügt werden.

Ein Oldtimer Liebhaber muss sich ja wohl auch nicht rechtfertigen, warum er mit seiner alten Gurke und nicht mit einem Neuwagen herum fährt.
Click to expand...

Der Oldtimer erhält trotzdem noch einen TÜV und sollte er hier durchfallen, darf er auch nicht mehr auf öffentlichen Straßen fahren. Zum Teil sind hier sicherlich Nachrüstungen erforderlich.

In dem Sinne, einen angenehmen Freitag :-)

VG Felix
 
killerbees19 said:
Und auch wenn es Dir nicht gefällt, aber damit könntest Du es auch gleich unverschlüsselt laufen lassen. SSLv2/SSLv3 bietet keine echte Sicherheit mehr, das gilt als geknackt. Das ist eine Pseudo-Sicherheit, die Du dir damit zusammenbastelst. Damit schwächst Du eventuell auch die Verschlüsselung aller anderen modernen Clients ab, die zum gleichen Server verbinden.
Click to expand...

Code: 
# SSL23 - all protocols (including TLS 1.x protocols)

-> Verstehe ich so, dass der Client alleine entscheidet, welches Protokoll er verwendet. Da es ein reiner Gamerclan Server mit sehr kleiner Community ist, und eben nicht auf großer Hoster/Kunden-Basis mit Firmendaten etc. genutzt wird, sehe ich da kein großes Problem. :rolleyes:
 
rulaman said:
Verstehe ich so, dass der Client alleine entscheidet, welches Protokoll er verwendet.
Click to expand...
Der und der Typ, der in der Leitung hockt und die Verschlüsselung schwächen will ;)
Wenn der Server ein schwaches Protokoll unterstützt läufst du Gefahr, dass JEDER Client sich mit dieser schwachen Verschlüsselung verbindet.
 
Dass SSLv2/v3 im Jahr 2015 wirklich nicht mehr serverseitig zugelassen sein sollten wurde ja bereits gesagt.

Was mich irritiert ist, dass Dein XP-Client kein TLS unterstützt. TLSv1.0 Unterstützung (v1.1 und v1.2 allerdings nicht!) in XP gab es nämlich schon, siehe:
https://msdn.microsoft.com/en-us/library/windows/desktop/aa380512(v=vs.85).aspx

Ich vermute also die XP-Kiste ist nichteinmal mit den Updates die vor 2 Jahren noch zur Verfügung standen versorgt worden.
 
Moderne Clients verbinden auch unter XP mit TLS 1.0.
Es muss schon ein völlig veralteter IE sein, der SSL23 benötigt.
 
GwenDragon said:
Moderne Clients verbinden auch unter XP mit TLS 1.0.
Es muss schon ein völlig veralteter IE sein, der SSL23 benötigt.
Click to expand...

Ich verwende generell keinen IE, nur Firefox, aber sowohl IE wie auch XP sind aktuell.
SSL23 sollte auf dem Server auch nur für Email verfügbar sein. Eine Analyse via ssllabs ergibt auch:

TLS 1.2 Yes
TLS 1.1 Yes
TLS 1.0 Yes
SSL 3 No
SSL 2 No

Wie bereits gesagt, wird XP von uns nur noch sehr selten verwendet. Wir sollten das Thema hier nicht breit treten...;)

Many Thanks to all
 
You must log in or register to reply here.
Back
Top