[Eisfair] ionos Zertifikat fehlerhaft
Marcus Röckrath
marcus.roeckrath at gmx.de
Mi Aug 12 14:04:19 CEST 2020
Hallo Alex,
Alex Busam wrote:
> Hab das Übertragungsprotokoll auf imap umgestellt, Port 993. Das war ein
> Versuch, um vielleicht an ein "anderes" Zertifikat zu kommen. Aber
> pop..., imap..., alle zeigen auf smtp.ionos.de
Klar, ein Zertifikat weist einen Server und nicht einen speziellen Dienst
aus.
> 2020-08-12
> 07:05:28 Fingerprint mismatch detected 2020-08-12 07:05:28
> ------------------------------------------------------- 2020-08-12
> 2020-08-12 07:05:46 imap.ionos.de:993 Updating all appearances of
> fingerprint
> 2020-08-12 07:05:46 imap.ionos.de:993
> BE:BA:8C:21:00:73:B7:88:6B:8C:3E:5E:4C:18:96:88 to
> 2020-08-12 07:05:46 imap.ionos.de:993
> 0E:88:33:B2:5F:39:F3:51:5F:F6:52:4D:94:97:2F:F7
> zum ersten Mal das neue Zertifikat ausgeliefert. Danach mal das gleich,
> mal das alte:
> 2020-08-12
> 07:06:15 Fingerprint mismatch detected 2020-08-12 07:06:16
> ------------------------------------------------------- 2020-08-12
> 2020-08-12 07:06:33 imap.ionos.de:993 Updating all appearances of
> fingerprint
> 2020-08-12 07:06:33 imap.ionos.de:993
> 0E:88:33:B2:5F:39:F3:51:5F:F6:52:4D:94:97:2F:F7 to
> 2020-08-12 07:06:33 imap.ionos.de:993
> BE:BA:8C:21:00:73:B7:88:6B:8C:3E:5E:4C:18:96:88
> Es dürfte also genau so sein, wie Du sagst, Marcus. Das Zertifikat wurde
> aktualisiert. Jedoch erst nach grob 24h ist es auf allen Servern neu.
Genau dieses Spiel wird hier gespielt, aber im Gegensatz zur Telekom hat 1
und 1 das deutlich schneller "im Griff".
> Aber was kann ich tun, wenn sowas mal wieder ist?
Nichts.
> SSL abschalten geht nicht mehr, oder?
Ob inonos noch unverschlüsselt geht, weiß ich nicht, aber unverschlüsselt
ist am Aussterben
> Die Fingerprints von Hand rauslöschen?
Wenn du den Fingerprint leer läßt, prüft fetchmail nur die Gültigkeit des
vom Server übermittelten Zertifikates, wozu nur dessen Kette vollständig
sein muss, also das zuständige Root-Zertifikat auf dem Server vorhanden
sein muss.
> Falsche Fingerprints oder abgelaufene Zertifikate temporär erlauben?
Wie? Man kann fetchmail nicht sagen, prüfe den Fingerprint, wenn der nicht
passt, ist es auch egal.
Das führt eine solche Prüfung ad absurdum.
> Einen "bestimmten" Server ansprechen, der schon das neue hat??
Da laufen Load-Balacer, du also garnicht gezielt einen Server ansprechen
kannst.
--
Gruß Marcus
[eisfair-Team]
Mehr Informationen über die Mailingliste Eisfair