[Eisfair] Fetchmail Meldung, die zweite

[Marcus Roeckrath]

Hallo,

M.Weidig wrote:

> bitte entschuldigen Sie unsere späte Antwort. Durch erhöhtes
> E-Mail-Aufkommen in den letzten Tagen erfolgt die Beantwortung der
> Anfragen momentan mit Verzögerung.
> 
> Beide Zertifikate für pop.1und1.de sind gültig, es macht aber den Anschein
> als hätten Sie den Fingerprint eines Zertifikates fest in Ihrer
> Konfiguration eingegeben. Eine Verifizierung der Zertifikate sollte aber
> mit Hilfe der Root-Zertifikate erfolgen und nicht anhand eines speziellen
> Fingerprints festgemacht werden.

Hier die Antwort, die ich erhielt:

[Zitat]
Beide Zertifikate für pop.1und1.de sind gültig, bei fehlerhafter
Konfiguration der abrufenden E-Mail-Systeme kann es aber sein dass die
Zerifizierungs-Kette nicht korrekt nachvollzogen werden kann.

In der Regel fehlt das entsprechende Root-CA auf dem Server / im
entsprechenden E-Mail-Client. Alle aktuell gehaltenen Systeme sollten mit
beiden Zertifikaten keinerlei Probleme haben.
[/Zitat]

IMHO blanker Unfug!

Wenn ich über Zertifikat sicherstellen will, dass ich mit einem bestimmten
Server verbunden bin, muss ich dessen Zertifikat prüfen und nicht, ob das
Zertifikat von irgendjemandem signiert wurde.

Genau das würde sonst unbemerkte Man-in-the-Middle Attacken erlauben.

Ich bin - im Falle von 1und1 kommt dazu, das verschiedene
Zertifizierungsstellen (also Zertifikatsketten) im Spiel sind - also mit
dem richtigen Server verbunden, wenn ich ein von beliebiger
Zertifizierungsstelle signiertes Zertifikat erhalte.

Das NSA-Zertifikat ist auch von glaubwürdiger Zertifizierungsstelle
signiert.

-- 
Gruss Marcus