SSL - aktiviert, nur falsche Domain?

Eher weniger, denn du kannst den Seitenbesuchern nicht verlangen, dass die bei dem Aufruf erstmal umständlich Client-Zertifikate manuell installieren.
Click to expand...
Dir ist schon klar dass ein X509 Server-Zertifikat (HTTPS) was absolut anderes als ein S/MIME Client Zertifikat (Username/Password Alternative) ist. Deine Kritik bezieht sich auf ein Client Zertifikat wovon du irgendwie dann auf Server-Zertifikate springst.

Die Meldung bedeutet schlicht "Access denied" da dein Browser kein valides Client-Zertifikat schickt. Und dein Client fragt dich nicht eins an zu geben weil er keins hat.
Bei der Registrierungsprozedur wird automatisch eins erstellt und im Client angelegt.

Client-Zertifikate sind übrigens (fast) IMMER self-signed und zwar vom Server. Dieser spielt dafür generell CA. Dass das aber kein Problem ist und wie das Ganze funktioniert sprengt aber diesen Beitrag.

Ein Seriöser Anbieter bietet korrekte SSL-Zertifikate an sodass der Seitenbesucher keinerlei Probleme hat und die Seite direkt aufgerufen wird.
Click to expand...
Dann schau mal oben in der Adress-Zeile. Das Zertifikat ist schon lange vom Browser vertraut bevor du diese Meldung siehst. Wie gesagt, beides hat nichts miteinander zu tun - dir fehlen definitiv viele Grundkenntnisse was SSL angeht.
 
Guten Abend zusammen,

vorab erstmal tausend Dank für die ganzen Meinungen und Infos von euch. Leider versteh ich nur die Hälfte...

Ich habe bisher folgendes:

Im Kundencenter von HS habe ich das Zertifikat nun bestätigt bekommen und die jeweiligen Dateien herunter geladen.
In mein Plesk - Panel habe ich das Zertifikat, den Private Key und das CA - Zertifikat importiert. Nun ist es zum Beispiel möglich die im Zertifikat angegebene Homepage mit https anzuwählen.
Wenn ich nun jedoch eine zweite Domain anwähle, wird das https Zeichen in der Browser URL durchgestrichen:


Beim Versuch, auf domain2.de zuzugreifen, haben Sie einen Server erreicht, der sich domain1.de nennt. Dies kann an einer fehlerhaften Konfiguration liegen, jedoch auch schwerwiegendere Ursachen haben. Möglicherweise versucht ein Hacker, Sie auf eine gefälschte und potenziell gefährliche Version von domain2.de zu locken.

Wobei hier domain1 die Domain ist, die im Zertifikat eingetragen ist
Click to expand...


Nun zur E-Mail Konfiguration.
Beispielsweise bei Thunderbird habe ich den SSL Port 995 bei IMAP bzw. 465 bei SMTP angegeben. Damit kann ich auch meine E-Mails abrufen. Jedoch bin ich mir nicht sicher, ob dies nun Secure ist.

Ich bekomme jedoch auch keine Meldung, mit dem Hinweis auf Zertifikate oder so etwas.

Liegt das daran, dass das Zertifikat nur auf domain1.de liegt und nicht auf den Rest wie zum Beispiel dem Mailverkehr?
Soll ich daher ein eigenes Zertifikat erstellen?

Danke und einen schönen Abend noch!
 
Last edited by a moderator:
aiko said:
Kurze Frage zu startssl... Sind die Gebuehren einmalig oder jährlich?
Click to expand...

So wie ich http://www.startssl.com/?app=37 verstehe, kostet nur die Personenüberprüfung einmalig Geld. Das Zertifikat selbst kostet "nichts" und ist 2 Jahre gültig. Nach 2 Jahren sollte man (wie auch beim Class 1 Zertifikat) sich schlicht eines mit neuer Laufzeit holen können. Aber so richtig klar ist das nicht, daher verstehe ich Deine Frage und bin mir auch nicht 100% sicher (nur Interpretation).
 
So wie ich http://www.startssl.com/?app=37 verstehe, kostet nur die Personenüberprüfung einmalig Geld.
Click to expand...
Nein, wiederholend.Die Zertifierung läuft alle 350 Tage aus und läuft dann nochmal gleich wie beim ersten Mal, nur die Dokumente müssen nicht erneut hochgeladen werden ausser es gab Änderungen in der Anschrift oder diese sind mittlerweile verfallen.

Zu beachten ist aber dass das Client-Zertifikat nicht automatisch erneuert wird und du somit knapp 2 Wochen nachdem die neue Laufzeit beginnt ausgesperrt bist wenn es nicht manuell verlängert wird. Kostet zwar nichts ein neues zu kriegen, ist aber etwas Schriftverkehr mit deren "Certmasters".


Wenn ich nun jedoch eine zweite Domain anwähle, wird das https Zeichen in der Browser URL durchgestrichen:
Click to expand...
Zertifikate sind auf eine Domain spezifisch. Ausnahmen sind Multi-Domain Zertifikate aber auch diese umfassen nur die bei der Erstellung angegebenen Domains.

Jedoch bin ich mir nicht sicher, ob dies nun Secure ist.
Click to expand...
Das könntest du einfach und effizient mit Wireshark, openssl s_client oder schlicht Telnet versuchen. Ein normaler unverschlüsselter Login dürfte gar nicht erst möglich sein.

Liegt das daran, dass das Zertifikat nur auf domain1.de liegt und nicht auf den Rest wie zum Beispiel dem Mailverkehr?
Click to expand...
Zertifikate zertifieren zwar eine Domain, sind aber auf eine IP gekoppelt. Ausnahme ist das im HTTPS-bereich verwendete SNI was Mailserver und -client aber generell nicht beherrschen.
Hast du die Zertifikate überhaupt für den Mailserver eingetragen. Es reicht nicht ihn für HTTPS der Domain ein zu tragen um magisch alle Dienste damit zu zertifieren.
 
Hallo,

eigentlich habe ich die Zertifikate schon an den MTA gebunden...
Also einfach vom Plesk Verzeichnis in das jeweilige Verzeichnis des Maildienstes kopiert.

Mit Wireshark?
Ich versuch mal damit rumzuspielen :)

Mal sehen wie es klappt..

EDIT::

Ich hatte im Kopf wie es mit telnet geht...

Der Server gibt mir nach dem Befehl EHLO

250-PIPELINING
250-SIZE 10240000
250-ETRN
250-STARTTLS
250-AUTH PLAIN DIGEST-MD5 LOGIN CRAM-MD5
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
Click to expand...


aus.
Sagt mit dort STARTTLS, das es verschlüsselt ist ?


Danke!
 
Last edited by a moderator:
Nein STARTTLS sagt dir dort dass er STARTTLS kann.
Ob er aber eine weitere Verbindung ohne Verschlüsslung zulässt kannst du an dem Punkt nicht einsehen.
Telnet ist nicht in der Lage Starttls durch zu führen (ausser du kannst es manuell =D ) somit einfach testen ob er dich weitergehen lässt.


Ich versuch mal damit rumzuspielen
Click to expand...
Mailclient öffnen. Wireshark öffnen & Start Capture. Dann im Client versuchen zum Server zu verbinden. Die entsprechende Verbindung in Wireshark suchen, Rechtsklick, Follow TCP Stream.
Falls da ein SSL Handshake (Zertifikat-Austausch) kommt bist du verschlüsselt unterwegs.

Also einfach vom Plesk Verzeichnis in das jeweilige Verzeichnis des Maildienstes kopiert.
Click to expand...
Kopieren reicht nicht ausser du hättest die Standardzertifikate überschrieben, ansonsten muss die Konfiguration angepasst werden. Ein Restart/Reload der entsprechenden Dienste nicht vergessen.
 
Puh, das sind schon einige Einträge...

Ich hab den WireshakrFilter mal auf SSL bzw. ssl.handshake gesetzt und dann nochmal meine Mails abgerufen...
Und dort tauchte dann ein Paket auf, in dem unter anderem

https://www.alphassl.com steht...

Dann sollte ich verschlüsselt unterwegs sein, oder?
 
Am Einfachsten ist es die Verbindung weiter zu verfolgen und zu sehen ob danach nur noch "Datenmüll" oder auch lesbarer Text steht, respektiv zu kontrollieren ob ein SSL Zertifikat kommt.

Wireshark ist (oder scheint zumindest) nicht in der Lage STARTTLS Traffic als SSL zu erkennen. Somit hat dein Filter dir vermutlich irgendwelche Verbindungen gezeigt, hast du kontrolliert ob diese überhaupt zu deinem Server und Mail-Port geht?

Im Anhang ein Bild wie STARTTLS-verschlüsselter Imap-Traffic aussieht.
Blau ist übrigens Server->Client und rot Client->Server Kommunikation.
 

Attachments

  • imap-starttls.png
    imap-starttls.png
    69.7 KB · Views: 132
Okay, so etwas hab ich eben durch Zufall gesehen, leider weiß ich nicht welche Verbindung is gewählt habe..

In WireShark sind so viele Verbindungen.. Da ist es schwer den richtigen Zeitpunkt zu finden, um genau die Verbindung des Mailprogramms auszulesen.
 
Nimm als Filter mal "imap".
Dadurch solltest du den grössten Teil weg haben, falls du nur ein Postfach hast bleibt auch nur eine Verbindung übrig.
Andernfalls musst du eine Verbindung welche als Ziel deine Server-IP hat raussuchen.

Danach wie in einem vorherigen Post beschrieben weiter verfahren..
 
Das hab ich vorhin auch schon probiert... Leider finde ich bei IMAP bzw SMTP nichts...
Also insgesamt findet er alle Pakete, sobald ich jedoch den Filter anwende wird kein einziges Paket angezeigt.
 

Attachments

  • imapwire.JPG
    imapwire.JPG
    70.8 KB · Views: 137
  • horchst du am richtigen Interface?
  • rufst du bei aktivem Wireshark-Mitschnitt auch die Mails ab
  • verwendest du sicher IMAP und nicht evtl POP3
 
Hallo,

Ja, ich horche auf meinem W-Lan Interface (siehe Screen)

Ja, ich aktiviere WireShark und hole dann meine Mails ab.

Und Ja, ich habe IMAP gewählt (siehe Screen 2)

Alles sehr komisch :)
 

Attachments

  • iface.JPG
    iface.JPG
    32.5 KB · Views: 121
Ich hab nochmal bei Wireshark geschaut... Ich denke, ich bin verschlüsselt...
Aber zum Thema Sicherheit hätte ich sowieso noch eine Frage...

Gibt es einen seriösen Service, der sozusagen einen Sicherheits - Test anbietet?
Also den Server auf Sicherheit bzw. auf ggf. vorhandene Lücken testet?
 
You must log in or register to reply here.
Back
Top