Aquamail meldet geaendertes SSL-Zertifikat

26/08/2016 - 15:44 von Alexander Goetzenstein | Report spam
Hallo,
unter Android begrüßt mich Aquamail seit heute mit einer deutlichen
Warnmeldung
"SSL Zertifikat geàndert: imap.web.de:993"
Und dahinter gibt es dann Infos über das alte und das neue Zertifikat:
Ausgestellt für, ausgestellt von, Gültigkeit, MD5 und SHA1.
Was muss ich nun tun, wie prüfe ich, ob das alles seine Richtigkeit hat?

Eigentlich unnötig zu erwàhnen, aber sicherheitshalber: auf web.de habe
ich keinen Hinweis auf ein neues Zertifikat für imap.web.de:993
gefunden, das Zertifikat selbst auch nicht, und auch Thunderbird hat
nicht gemeckert -da finde ich das Zertifikat aber gar nicht, weder das
alte noch das neue. Ist nun Aquamail kaputt, oder versucht da jemand,
mir ein falsches Zertifikat auf dem Handy unterzujubeln? Ich würde ja
lieber das Zertifikat prüfen, gern selbst und manuell, wenn ich nur
wüsste, wie und wo. Kann mir da jemand weiterhelfen?

Gruß
Alex
 

Lesen sie die antworten

#1 Michael Bäuerle
26/08/2016 - 17:05 | Warnen spam
Alexander Goetzenstein wrote:

Hallo,
unter Android begrüßt mich Aquamail seit heute mit einer deutlichen
Warnmeldung
"SSL Zertifikat geàndert: imap.web.de:993"
Und dahinter gibt es dann Infos über das alte und das neue Zertifikat:
Ausgestellt für, ausgestellt von, Gültigkeit, MD5 und SHA1.
Was muss ich nun tun, wie prüfe ich, ob das alles seine Richtigkeit hat?

Eigentlich unnötig zu erwàhnen, aber sicherheitshalber: auf web.de habe
ich keinen Hinweis auf ein neues Zertifikat für imap.web.de:993
gefunden, das Zertifikat selbst auch nicht, und auch Thunderbird hat
nicht gemeckert -da finde ich das Zertifikat aber gar nicht, weder das
alte noch das neue. Ist nun Aquamail kaputt, oder versucht da jemand,
mir ein falsches Zertifikat auf dem Handy unterzujubeln? Ich würde ja
lieber das Zertifikat prüfen, gern selbst und manuell, wenn ich nur
wüsste, wie und wo. Kann mir da jemand weiterhelfen?



Das Zertifikat kann man z.B. mit OpenSSL holen:
|
| $ openssl s_client -connect imap.web.de:993
| [...]
| --BEGIN CERTIFICATE--
| [Zertifikat in PEM-Format]
| --END CERTIFICATE--

Nimm es mit Copy&Paste in einen Editor und speichere es als z.B.
"cert.pem".

Dann kann man wieder OpenSSL nehmen um es zu decodieren:
|
| $ openssl x509 -in cert.pem -inform PEM -text >cert.txt

Wenn du nun "cert.txt" mit einem Editor anschaust, dann siehst du:
|
| [...]
| Validity
| Not Before: Aug 25 05:57:08 2016 GMT
| Not After : Aug 30 23:59:59 2018 GMT

Das Zertifikat ist also tatsàchlich erst seit gestern gültig.

Wenn die Warnung nur besagt, dass es neu ist - die Prüfung aber
erfolgreich ist und dem Zertifikat vertraut wird, dann gibt es
wohl kein Problem (und der Austausch ist einfach nur erfolgt, weil
die Gültigkeit des alten Zertifikats abgelaufen war).

Ähnliche fragen