SSL Handshake von Nokia Symbian

A

aiko

New Member
Moin,

ich versuche vergeblich eine gesicherte Verbindung von meinem Nokia C5 zum Dovecot herzustellen. Leider bekomme ich immer folgende Fehlermeldung:
Code: 
Nov  7 09:16:00 tolli dovecot: imap-login: Disconnected (no auth attempts in 2 secs): user=<>, rip=109.84.2.25, lip=94.23.16.146, TLS handshaking: SSL_accept() failed: error:140943F2:SSL routines:SSL3_READ_BYTES:sslv3 alert unexpected message: SSL alert number 10, session=<Km5I4JHqkABtVAIZ>
Unverschlüsselt geht natürlich. Ich habe irgendwie leider keine Möglichkeit gefunden, das Zertifikat manuell auf dem Handy zu installieren.

Habt ihr ne Idee?
 
Last edited by a moderator:
Ich denke nicht das StartSSL von Symbian unterstützt wird. Selbst bei Android habe ich damit Probleme. In diesem Fall empfiehlt es sich ein SSL-Zertifikat von einer CA zu nutzen, die eine bessere Anerkennung genießt wie StartSSL.
 
Halte ich für Quatsch. Verschlüsselung ist Verschlüsselung und die Zertifikate von StartSSL sind nicht "minderwertig". Der ganze Mist mit den Zertifizierungsstellen ist Geldmacherrei, mehr nicht. :)
 
Ich hab hier eben mit meinem Nokia N8 (auch Symbian) auf der oben im Log stehenden IP getestet. IMAPv4 mit SSL auf Port 993 funktioniert völlig problemlos.
Er wollte deinem Zertifikat nicht vertrauen (ich war nun zu Faul die Gründe zu erforschen) und forderte auf, damit ich das Zertifikat manuell bestätige.
Du solltest nun einen Fehllogin für den User n8test von einer Vodafone IP haben.
 
Selbst bei Android habe ich damit Probleme.
Click to expand...
Ich würde dringend anraten ein neues Handy zu kaufen oder Richtung Cyanogenmod zu schauen, falls du tatsächlich noch Android 2.2 im Einsatz hast.
Das verbreitete Android 2.3.x hat die Zertifikate, beachte aber dass Android 2.3 kein SNI kann was vermutlich die beschriebenen Probleme verursacht.
=> https://code.google.com/p/android/issues/detail?id=21632

die eine bessere Anerkennung genießt wie StartSSL.
Click to expand...
Gib mir einen nennenswerten Browser- oder Emailclient-Hersteller der StartSSL in aktuell relevanten Versionen nicht beinhaltet (dafür aber die gängigen Anderen), mir ist keiner bekannt.
 
d4f said:
Hilft das hier?
http://jnsc.ch/symbian.php
Click to expand...

Hab ich gemacht, hilft nicht.

Immernoch folgende Fehlermeldung
Nov 10 10:32:16 tolli dovecot: imap-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=109.84.0.73, lip=94.23.16.146, TLS handshaking: SSL_accept() failed: error:140943F2:SSL routines:SSL3_READ_BYTES:sslv3 alert unexpected message: SSL alert number 10,
Click to expand...

Hm, habe SSL sowie StartTLS versucht, geht beides nicht auf den jeweiligen Ports...

Hat jmd vllt noch ne Idee?
 
Du bist leider in keinster Weise auf meinen Beitrag eingegangen. Mach doch bitte mal Fotos von deinen Einstellungen auf dem Handy.
Das es mit Symbian ohne irgendwelche manuellen Frickelein funktioniert, hab ich ja nun schon bewiesen. ;)
 
Firewire2002 said:
Du bist leider in keinster Weise auf meinen Beitrag eingegangen. Mach doch bitte mal Fotos von deinen Einstellungen auf dem Handy.
Click to expand...

Was willst du denn für nen Screenshot.

Entscheidenen Punkte sind Sicherheit: Aus - Ein (StartTLS) - Ein (SSL/TLS)

Port: Standard oder Benutzerdefiniert.

Standard ist bei StartTLS: 143 und bei SSL/TLS 993

Egal was ich dort einstelle, es funktioniert nicht. Weder StartTLS und SSL/TLS auch nicht. Egal ob ich den Port auf automatisch setze oder auf manuell.

Wenn Du mir sagst wovon Du genau nen Screenshot haben willst, mach ich gerne einen! Hab jetzt auch nen Screenshot angehängt.. Denke der ist aber weniger aussagekräftig...
 

Attachments

  • scr000001.jpg
    scr000001.jpg
    12.9 KB · Views: 162
Last edited by a moderator:
Über UMTS die gleichen Probleme wie über Wlan?
Ich hatte via TLS auf 993 über UMTS des Vodafone Netzes getestet. Möglicherweise macht dir auch dein Netz zwischen Handy und Server den Traffic kaputt.

Mal den Traffic mitgeschnitten und nach Unterschieden zu funktionierenden Clients geprüft? Da du auch den Private Key des Zertifikats hast, lässt sich der SSL Kram nachträglich im Wireshark oder ähnlichen Tools entschlüsseln.
 
Firewire2002 said:
Über UMTS die gleichen Probleme wie über Wlan?
Mal den Traffic mitgeschnitten und nach Unterschieden zu funktionierenden Clients geprüft?
Click to expand...

Also nur über UMTS, WLAN hab ich nicht... Habe aber auch Vodafone, also dürfte es da keine Unterschiede geben oder?

Traffic hab ich noch nicht mitgeschnitten. Aber wie soll ich den mitschneiden wenn ich nicht über WLAN geh? Ich bin irgendwie verwirrt warum es nicht geht. Es muss definitiv am Zertifikat liegen bzw. an der SSL Verschlüsselung, unverschlüsselt gehts ja ...

//Nachtrag: Also wenn ich übern Browser versuche auf die Seite zuzugreifen, bekomme ich in der nginx log nen 400 Fehler:
109.84.2.66 - - [10/Nov/2013:12:24:59 +0100] "-" 400 0 "-" "-"


Liebe Grüße
 
Last edited by a moderator:
Traffic mitschneiden kannst du auch vom Server aus. Client IP ist ja bekannt und lässt sich somit einfach rausfiltern. ;)
Dein Screenshot hat mich aber eben auf etwas anderes gebracht. Ich war davon ausgegangen, dass das C5 auch noch Symbian Belle bekommen hat. Laut Wikipedia und dem Design des Screenshots nach, war Symbian^1 (Symbian 9.4) die letzte Version dafür. Daher hab ich hier eben nochmal mit einem Nokia E60 mit Symbian 9.1 getestet und kann dein Problem nachvollziehen.

Aber auch die alten Versionen haben damals schon nachgefragt ob sie dem Zertifikat vertrauen sollen, wenn sie es nicht selbst prüfen können. Da man soweit gar nicht kommt, vermute ich eher, dass ihm der Key zu groß ist oder dein Server eventuell Cipher verlangt, die das alte Symbian noch nicht kennt.
 
Firewire2002 said:
Aber auch die alten Versionen haben damals schon nachgefragt ob sie dem Zertifikat vertrauen sollen, wenn sie es nicht selbst prüfen können. Da man soweit gar nicht kommt, vermute ich eher, dass ihm der Key zu groß ist oder dein Server eventuell Cipher verlangt, die das alte Symbian noch nicht kennt.
Click to expand...

Also wäre folgender Denkansatz vllt möglich oder habe ich nen Denkfehler? Extra Subdomain mail2.* bspw. mit eigeneme Zertifikat und "schwacher" Verschlüsselung ?!

Vielen Dank schonmal für dein Bemühen und jetzt bin ich etwas beruhig, dass der Fehler nachvollziehbar ist ...
 
Ich bin noch nicht weiter zum Testen gekommen. Dein Key hat nur 2048 Bit. Das sollte ihm nicht zu groß sein.
Die Cipher Theorie halte ich für wahrscheinlicher. Die sind nur für den gesamten IMAP Dienst definierbar.

Davon ab kennt IMAP keine vHosts oder Subdomains.
 
Hello,

ich erwecke das Thema kurzfristig wieder zum Leben :) - habe dasselbe Problem. Ich vermute allerdings, es hängt damit zusammen daß das C5 einen SSLv3 handshake machen möchte. Der ist aber aus Sicherheitsgründen (Poodle) nicht mehr erlaubt. Blöderweise bedeutet das nun daß man nur mehr ungesichert senden und empfangen kann. Weil es wird wohl keiner ein Update für das C5 machen bei Nokia/Microsoft :P

Die Fehlermeldung im dovecot ist symptomatisch: sslv3 alert ...

lg FLoh
 
You must log in or register to reply here.
Back
Top