[Eisfair] Zertifikatsproblem bei outlook.office365.com

Mi Jul 17 21:35:28 CEST 2019

Hallo Jürgen,

Juergen Edner wrote:

>> wir haben heute in der Penne auf Office365 für EMail umgestellt.
> 
> interessant. Gab es da nicht erst vor ein paar Tagen Bedenken bezüglich
> des fehlenden Datenschutzes. Siehe:
> 
>
https://www.datenschutzbeauftragter-info.de/microsoft-office-365-fuer-schulen-nicht-datenschutzkonform-nutzbar/

Ich hatte, nachdem Hessen es 2017 für unbedenklich hielt und NRW derzeit
immer noch auf diese Einschätzung Hessens verweist, dieses gefunden

https://www.heise.de/newsticker/meldung/Datenschuetzer-Einsatz-von-Microsoft-Office-365-an-Schulen-ist-unzulaessig-4466156.html

und bis zuletzt meine Bedenken kund getan. Alles weitere ist nicht
Gegenstand meiner Entschedungsbefugnis, ich habe nur mit der technischen
Umsetzung zu tun.

>> Folgendes sind die Fingerprints der beiden Zertifikate:
>> 
>> E7:99:10:E1:F8:67:83:01:0F:3A:46:BF:1E:AF:48:31
>> 
>> FD:81:45:90:75:3D:FD:3C:62:0A:14:D0:C0:9B:16:5F
>> 
>> Benutzt noch jemand pop von outlook.office365.com?
>> 
>> Welcher Fingerprint ist es bei euch?
> 
> Ich benutze den Service zwar nicht, habe mir aber gerade einmal das
> Zertifikat angesehen. Hier der Fingerprint:
> 
> # dig outlook.office365.com
> 
> ; <<>> DiG 9.11.2 <<>> outlook.office365.com
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53756
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 4096
> ;; QUESTION SECTION:
> ;outlook.office365.com.         IN      A
> 
> ;; ANSWER SECTION:
> outlook.office365.com.  42      IN      CNAME   outlook.ha.office365.com.
> outlook.ha.office365.com. 16    IN      CNAME  
> outlook.ms-acdc.office.com.
> outlook.ms-acdc.office.com. 17  IN      CNAME  
> CDG-efz.ms-acdc.office.com.
> CDG-efz.ms-acdc.office.com. 28  IN      A       40.101.137.98
> CDG-efz.ms-acdc.office.com. 28  IN      A       40.101.136.2
> CDG-efz.ms-acdc.office.com. 28  IN      A       40.101.137.82
> CDG-efz.ms-acdc.office.com. 28  IN      A       40.101.136.242
> 
> 
> # openssl x509 -in 40.101.137.98.pem -noout -fingerprint -md5
> MD5 Fingerprint=FD:81:45:90:75:3D:FD:3C:62:0A:14:D0:C0:9B:16:5F

Schön, aber bei den 5 minütlichen Mailabrufen gibt es dann einen
Fingerprint-Mismatch und dann geht das Spiel los.

Und smtp macht dann auch Zicken, wenn der dann gerade auch mal das andere,
hier gerade nicht abgelegte Zertifikat benutzt wird.

Ich habe Fingerprint und Zertifikat endgelagert und belasse es bei der
reinen Prüfung der übermittelten zertifikate mittels der hier vorliegenden
Zwischen und Rootzertifikate.

Vor Jahren habe ich mal mit der T-Online den Unsinn mit parallel
eingesetzten unterschiedlichen Zertifikaten für einen einzelnen Server
diskutiert, was sie dann irgendwann auch eingesehen haben.

Ich könnte kotzen.

Wer so einen Scheiß macht, der jede echte Prüfung der Gegenstelle
unterminiert, schreibt dann auch Betriebssystem auf die sich Hacker freuen
- und die ganze Digitale Welt ist Office365 im Browser - Gute Nacht.

-- 
Gruss Marcus