Guten Tag!

Vielleicht ist das ja nur eine vorübergehende Störung.

Wenn nicht: Wie, in Gottes Namen, installiere ich bloß ein korrektes Zertifikat?

Ich hatte noch nie Anlaß, dies tun zu müssen, und wohl überhaupt noch nie ein Zertifikat bewußt installiert.

Es wurden keine Einstellungen verändert – aus heiterem Himmel geschah’s!


Die Schildkröte dankt und wünscht ein angenehmes Wochenende.

Das Sicherheitszertifikat ist von Arcor - da musst und kannst du nix installieren, dass muss Arcor machen. Sind ja die Serverinhaber.

Danke.

Bei mir ist es auch das Problem des abgelaufenen Zertifikats!
Ist schon ärgerlich!

Grüße

Das typische Anzeichen für eine Man-In-The-Middle-Attacke. Kann sein, daß sich jemand anderes als dieser Server ausgibt.

MacMark

Was für mich praktisch bedeutet?

Und wie kann man genaueres in Erfahrung bringen?

Das Zertifikat anschauen. Wenn Du dem Zertifikat nicht trauen kannst, kannst Du dem Host nicht trauen.

Aber daß macproduction nun auch einen Lauscher an der Leitung hat, ist ja nicht so wahrscheinlich - von der Wahrscheinlichkeit her.

Arcor hat wohl seine Hausaufgaben nicht gemacht.

Und so ein Zertifikat sieht man wie an?

Ich hatte, wie gesagt, noch nie Anlaß, tiefer in die Materie einzudringen.

Wenn jemand einen gefakten Server im Netz betreibt, der sich als Arcors Mailserver ausgibt, dann tut er das nicht nur für Dich alleine. Laß Dir vom Mailprogramm das Zertifikat anzeigen und schau nach, wer es ausgestellt hat.

Oh, MacMark, ich muß Dir leider schon wieder lästig werden.

Die Entourage-Hilfe gibt sich ahnungslos bezüglich des Anzeigen eines Zertifikates; bei den Einstellungen für das Arcor-Konto gibt es auch keine ersichtliche Möglichkeit der Anzeige.

Gibt es dafür noch einen anderen Begriff?

Bitte einen Wink geben!

Er sagt was vom IE. Vielleicht speichert der die Zertifikate für Entourage.

Was sagt uns das?

Wer noch nicht dahinter gestiegen:

Der Certificate Assistent wird übrigens über den Schlüsselbund gestartet.

Und ist hier:

Bei web.de besteht kein Grund zur Klage.

Ist MacMarks Verdacht damit bekräftigt?

Das sieht überhaupt nicht gut aus. "Host-Name stimmt nicht überein" ist eindeutig. Da gibt sich ein Server als jemand anderes aus. Ich würde nun davon ausgehen, daß der Host ein Ganove ist. Ganz klar roter Alarm.

Frag mal Acor, ob sie tatsächlich ungültige Zertifikate verwenden. Ansonsten ist das hier eine Man-In-The-Middle-Attacke. Dies ist keine Übung, dies ist kein Witz.

Wo sind die Panikmacher vom CCC (Chaos Computer Club), wenn man sie mal braucht? Hier könnten sie zeigen, ob sie immer nur den Dicken raushängen lassen, oder ob sie es wirklich drauf haben: Ist Arcor einfach nur Mist oder ist es eine MITM-Attacke?

Wo sind die Astronomie-Studenten (mit ihren Vorträgen und Interviews und falschen Darstellungen), Laubkehrer (hieß er nicht so?) und Videovortragenden (erst kürzlich bei den Mainzelmännchen)? Mädels, ich will nun mal was sehen von Euch. Beweist Euch

Oder war es (m)ulm(ig)?

Zur Ergänzung:

Gebe ich www.arcor.de (also nicht: arcor.de) ein, ist alles wieder im grünen Bereich.

Was geht hier nun vor sich?

Die Meldung nennt sich zwar "Host-Name stimmt nicht überein", aber man sollte mal das ganze Zertifikat ankucken, nicht daß das eine falsche Fehlermeldung ist. Das Zertifikat ist am 20. abgelaufen. Also seit Freitag isses ungültig.

Also, ich kapier's nicht.O:-)

Ah, Kacke... ich bin schon bei 2006

Ich übe mal: 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005, 2005

Rantanplan

Bis …2006 gültig!

Das ist aber auch verwirrend:

Für die Prüfung bei web.de genügte die Eingabe von „web.de“ (und nicht „www.web.de - wie bei Arcor).

Blicke mal da einer durch!


Hallo MacMark?

MacMark

Laubfeuer.:-/
Nö, Strohfeuer, oder?;-)

Es könnte auch daran liegen, dass der Server pop.arcor.de eben nicht www.arcor.de ist und somit die Namen nicht übereinstimmen.

Um Emails abzufragen, nutzt man nicht Port 80 (außer bei Webmails). Da Port 80 http also www bedeutet, wäre www.arcor.de wohl nicht für Emails zuständig, sondern der oben genannte pop3.arcor.de. Auf den müßte das Zertifikat ausgestellt sein.
Es gibt wohl aber auch Zertifikate, die für eine Gruppe gelten wie bla.arcor.de und blubb.arcor.de etc.

Also ist doch ganz einfach:

Wenn du dir das SSL-Zertifikat auf anschaust, wirst du feststellen, daß als Common Name (CN) 'www.arcor.de' hinterlegt ist. Da nun 'arcor.de' ungleich 'www.arcor.de' ist, gibt es die Warnung. Mit Man-in-the-Middle hat das überhaupt nichts zu tun, aber ein solides Halbwissen kann ja nie schaden - stimmt's MacMark? Das ganze ist auf eine Fehlkonfiguration von Arcor zurückzuführen.

Alex

Bei „pop3.arcor.de“ kommt gar keine Nachricht, wenn man anfragt.

Pseudemys
Vielleicht weil 'pop3.arcor.de' kein HTTP/HTTPS Server ist?

Alex

ahuebenettDanke für die Aufklärung.

Um zu einer praktischen Konsequenz zu kommen:

Arcor muß den Fehler beheben - der ja erst jetzt eingetreten ist.
Denn bisher lief ja alles nach Plan.

ahuebenett
Das fragt Du mich!

Mache ich den Eindruck des Experten?

ahuebenett
Der Mailserver (siehe Startposting) ist jedoch pop3.arcor.de und nicht arcor.de und auch nicht www.arcor.de.

Gefälschte Zertifikate sind die produktivste Angriffsart, wenn man mit verschlüsselten Protokollen wie SSH oder SSL zu tun hat. Der Angriff erfolgt dann per MITM-Attacke.

Pseudemys
[/quote]

Arcor muß den Fehler beheben - der ja erst jetzt eingetreten ist.
Denn bisher lief ja alles nach Plan.[/quote]

So ist es.

Alex

MacMark


Un welchen CN hat das Zertifikat von 'pop3.arcor.de'? Na klingelt's?

Alex

Es ist auf jeden Fall ein ungültiges Zertifikat. Solange kein gültiges Zertifikat geliefert wird, sollte man von einer MITM-Attacke ausgehen, um seinen Rechner nicht zu gefährden.

Ignorieren von fehlerhaften Zertifikaten ist genau das, was MITM-Attacken auf sichere Protokolle so erfolgreich macht: Die Blauäugigkeit auf Benutzerseite.

Sicherheitsbewußtes Vorgehen wäre:
- Keinen Datenaustausch mit Server, der falsches Zertifikat vorlegt.
- Arcor benachrichtigen.
- Sobald Server korrektes Zertifikat anbietet (von vertrauenswürdigem Aussteller) wieder Datenaustausch aufnehmen.

Wenn ich eine MITM-Attacke machen wollte, dann würde ich auch ein Zertifikat ausstellen, daß wie ein Tippfehler aussieht. Alles andere wäre doch dumm vom Angreifer.

Edit: "..., das wie ein Tippfehler ... "

MacMark
Und wie bringst du Thawte dazu, das Zertifikat zu signieren? Oder woher hast du den Private Key von 'www.arcor.de' bzw. 'arcor.de'?
Ich fürchte, du verstehst nicht.

Alex

ahuebenett
Wer sagt Dir, daß der private key von Arcor nicht von jemand bei einem Einbruch gefunden wurde.
Wenn ich Deinen private key kopiert hätte, dann wäre ich Du

MacMark

Wer sagt etwas von selbsterstellt? Thawte erstellt es.

Man kann verschiedene Webserver auf die gleiche IP-Adresse abbilden. Oder den einen übernehmen oder spoofen und Verkehr abfangen und weiterleiten.

Und er muß keineswegs bei mir stehen dafür.

MacMark
1. Du hattest von selbsterstellten Zertifikaten gesprochen.
2. Nein, Thawte erstellt kein Zertifikat, die signieren es (vielleicht)

Alex

ahuebenett
Ich schrieb "ausstellen" nicht "selbst erstellen". Damit war gemeint, es für den (MITM) Server als Zertifikat ausstellen/verwenden.
Ohne die Signatur der ausstellenden Stelle (Thawte oder eine andere), ist das Zertifikat unvollständig und somit "nicht erstellt"/ungültig.

Unabhängig von unserer Erörterung ist und bleibt das Zertifikat von "Arcor" ungültig. Um auf der sicheren Seite zu sein, sollte man ihm daher nicht vertrauen. Wenn man sich ein ungültiges Zertifikat gültig reden möchte, läuft es letztendlich nur auf Selbstverarschung hinaus. Im Grund könnten wir dann die Zertifikate und SSH/SSL auch wieder abschaffen, denn wenn sie ungültig sind vertrauen wir ihnen ja trotzdem, also was solls

Du hast keine Userinfos an Deinen Postings. Deine Postings bekämen mehr Rückhalt, wenn man (einfach und direkt) überprüfen könnte, wer Du bist und was Du so machst

Es wird immer verwirrender:

Bein Eingabe von „www.arcor.de“:

Bein Eingabe von „arcor.de“:

Man beachtete: Verglichen werden aber auch hier www.arcor.de & www.arcor.de

wie schön, dass ich unter panther keinen certficate assistenten habe...

so bin ich sicher(fear)

duck und weg(devil)

Anderweitig bekam ich jetzt zu hören, daß das pop3.arcor.de-Zertifikat abgelaufen sein soll.

Aber: Wie bekommt man das zu Gesicht?

Über den Certificate Assistant angefordert schickt der Host keines zurück.
(Auch bei pop3.web.de übrigens nicht.)

Kein Grund zur Panik!!!

Arcor hat wohl ein Zertifikat unter "www.arcor.de" ausstellen lassen, anstelle eines "Wildcard Certificates" für "*.arcor.de". Der Grund dafür ist wohl einfach, das Wildcard Zertifikate mehr kosten.

Da Du bei "arcor.de" das gleiche Zertifikat wie bei "www.arcor.de" bekommst (einfach alle Details vergleichen), ist eine MITM Attacke wohl eindeutig auszuschliessen.

Ich nehme an, dass das "pop3.arcor.de" Zertifikat auch identisch mit dem "www.arcor.de" Zertifikat ist, also eine MITM Attacke auch hier reine Panikmache ist.

Dass der Fahler erst seit kurzem auftritt, hat damit zu tun, dass seit dem 20.10. ein neues Zertifikat verwendet wird (die Thatwe Zertifikate sind 1 Jahr lang gültig, man kann also einfach vom Ablaufdatum aus zurückrechnen...)

Aber dann, Panikmache ist ja immer schöner...

[edit]Fahler @@ Fehler[/edit]