Re: Icedove spricht nicht mehr mit Dovecot
On 26.03.2013 18:43, Manfred Schmitt wrote:
> Paul Muster schrieb:
>> urplötzlich spricht mein Icedove nicht mehr mit meinem Dovecot. Bisher
>> funktionierte das - per IMAP über SSL - hervorragend. Und ich kann nicht
>> nachvollziehen, auf welcher der beiden Seiten sich was geändert hat, was
>> zu dieser Nicht-Verständigung nun führt.
>>
>> Mar 25 11:53:08 imap dovecot: imap-login: Disconnected (no auth attempts
>> in 0 secs): user=<>, rip=192.168.0.2, lip=192.168.0.1, TLS handshaking:
>> SSL_accept() failed: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3
>> alert bad certificate: SSL alert number 42, session=<5mY7nL3YFgDAqAAC>
>>
> Hm, da hatte jemand quasi das selbe Problem wenn OSCP aktiv ist und der
> Zertifikatsstatus nicht online ueberprueft werden konnte:
> http://www.mwimmer.com/2012/07/probleme-mit-tls-verbindungen-bei.html
>
> Bei dem hier zu Testzwecken installiertem icedove ist "Wenn eine
> OCSP-Server-Verbindung fehlschlägt, das Zertifikat als ungültig
> betrachten" nicht angehakt.
Hier auch nicht. Dennoch eine sehr interessante Idee.
> Wenn man im Zertifikat keinen OSCP-Server angegeben hat (was bei einer
> privaten CA ja relativ wahrscheinlich ist) sollte die Einstellung aber
> ja auch sowieso egal sein weil dann eben der Revocation-Status gar nicht
> ueberprueft wird.
>
> Nun ja, vielleicht bringt Dich das ja trotzdem weiter.
Leider nicht. Wireshark zeigt im TLS-Dialog zwischen der Mitteilung des
Server-Zertifikats an den Client und dessen Ablehnung keinerlei
HTTP-Traffic - und somit auch keine OSCP-Anfrage, die scheitern könnte.
(Es hätte ja sein können, dass Icedove fragt (und scheitert), obwohl
kein OSCP-Server im Zertifikat steht.)
Anschließen möchte ich mich der Aussage des Bloggers: "Was man an der
ganzen Erfahrung eigentlich am Meisten enttäuscht ist, dass mir
Thunderbird keine Fehlermeldung ausgibt." Das ist echt unschön.
Danke & viele Grüße
Paul
Reply to: