SSL-verschlüsselte E-Mail mit Strato.de geht nicht mehr

Zitat von Cecil Ingram Connor

Ich will ja hier niemandem den Spaß verderben, aber ich würde auf meinem Smartphone keine Zertifikate aus zweifelhafter Quelle installieren.

vielleicht wäre hier der Ausdruck "unbekannter Quelle" angemessener gewesen, so vergrault man "Neulinge" nicht so schnell.

So, und nun nochmal ausführlich:

Zunächst kann man sich folgende Zertifikate herunter laden:

https://de.ssl-tools.net/mailservers/smtp.strato.de

smtp.strato.de
TeleSec ServerPass DE-2
Deutsche Telekom Root CA 2

Dazu unter "Zertifikate", "Zertifikatskette" auf "smtp.strato.de" klicken und unten in der Zeile "TeleSec ServerPass DE-2" mit der rechten Maustaste - sichern unter auf die Schaltfläche <PEM> das Zertifikat als z.B. "smtp.strato.de.pem" speichern.

In der Zeile "TeleSec ServerPass DE-1" kann man ggf. ebenso das zweite Zertifikat für einen (anderen?) SMTP-Server von Strato herunterladen und unter einem anderen Namen abspeichern, ich weis jedoch nicht genau wo das genutzt wird.

Dann geht man zurück, klickt unten auf "TeleSec ServerPass DE-2" um auf der neuen Seite das PEM als z.B. "TeleSecServerPassDE-2.pem" abzuspeichern.

Und nochmal geht man eine Seite zurück und macht selbiges für "Deutsche Telekom Root CA 2", was man als "DeutscheTelekomRootCA2.pem" speichert.

Für SMTP hat man nun die komplette Zertifikats-Kette, wobei man das "TeleSec"-Zertifikat wahrscheinlich gar nicht benötigt.

Zum Herunterladen des Strato IMAP-Zertifikats benötigt man Linux mit OpenSSL, man kann auf diesem Weg auch das SMTP-Zertifikat laden.

Man erstellt ein Verzeichnis für die Zertifikate und wechselt hinein:

# mkdir StratoSSL
# cd StratoSSL

Dann ruft man das Zertifikat z.B. für den IMAP-Server von Strato ab:

# openssl s_client -showcerts -connect imap.strato.de:443
->
CONNECTED(00000003)
depth=1 C = DE, O = T-Systems International GmbH, OU = T-Systems Trust Center, ST = Nordrhein Westfalen, postalCode = 57250, L = Netphen, street = Untere Industriestr. 20, CN = TeleSec ServerPass DE-2
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=DE/O=Strato AG/OU=Rechenzentrum/ST=Berlin/L=Berlin/CN=imap.strato.de
   i:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-2
-----BEGIN CERTIFICATE-----
...

Unter "Certificate chain" steht, das diese Zertifikat für IMAP ist: "CN=imap.strato.de".

Das eigentliche Zertifikat steht zwischen den ersten "BEGIN CERTIFICATE" und "END CERTIFICATE", diesen Bereich, beide genannten Zeilen eingeschlossen, kopiert man in die Zwischenablage.

Mit Strg + C verlässt man die Ausgabe wieder

Jetzt wird das kopierte Zertifikat in eine Datei geschrieben, unter Linux am einfachsten mit:

# echo "<hier das Zertifikat aus der Zwischenablage einfuegen>" > imap.strato.de.pem

Man tippt also "echo" dann ein Leerzeichen, dann ein Gänsefüßchen, dann fügt man den Inhalt aus der Zwischenablage mit z.B. Strg + V ein, tippt noch ein Gänsefüßchen und abschliessend wieder Leerzeichen plus "> imap.strato.de.pem".

Jetzt hat man das Zertifikat in der Datei "imap.strato.de.pem", die man sich nochmal ausgeben lassen kann:

# cat imap.strato.de.pem
->
-----BEGIN CERTIFICATE-----
.
..
...
hier stehen jetzt viele, bunt gemischte Buchstaben und Zahlen
...
..
.
-----END CERTIFICATE-----

Wenn man will und es nicht bereits wie oben beschrieben gemacht hat, kann man selbiges noch für den SMTP-Server machen, wenn nötig auch noch das Zertifikat des POP3-Servers laden:

# openssl s_client -showcerts -connect smtp.strato.de:443
->
CONNECTED(00000003)
depth=1 C = DE, O = T-Systems International GmbH, OU = T-Systems Trust Center, ST = Nordrhein Westfalen, postalCode = 57250, L = Netphen, street = Untere Industriestr. 20, CN = TeleSec ServerPass DE-2
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
 0 s:/C=DE/O=Strato AG/OU=Rechenzentrum/ST=Berlin/L=Berlin/CN=smtp.strato.de
   i:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-2
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
...

Bereich von "BEGIN CERTIFICATE" bis "END CERTIFICATE" in die Zwischenablage kopieren, mit Strg + C Ausgabe verlassen, dann das neu kopierte Zertifikat in die zweite Datei schreiben:

# echo "<zweites Zertifikat aus der Zwischenablage einfuegen>" > smtp.strato.de.pem

Jetzt wurden beide Zertifikate erstellt:

# ls -l
-> 
...
-rw-r--r-- 1 benutzer users 2569 17. Apr 23:16 imap.strato.de.pem
-rw-r--r-- 1 benutzer users 2549 17. Apr 23:18 smtp.strato.de.pem
...

In beiden obigen Ausgaben gibt es übrigens einen zweiten Zertifikats-Block, welche das "TeleSec ServerPass DE-2"-Zertifikat enthalten, was oben heruntergaladen wurde, alle drei müssen identisch sein!

Allerdings gleicht das Strato SMTP-Zertifikat keinem der oben heruntergeladenen, möglicherweise, gibt es da mehr als eins?

Abschliessend kommt noch ein grosses ABER. Wenn man sich auf der Web-Seite oben die Gültigkeitszeiträume der Zertifikate anschaut, fällt auf, das die Zertifikate für "TeleSec ServerPass DE-2" und "Deutsche Telekom Root CA 2" jeweils bis zum 2019-07-09 gültig sind, das für "smtp.strato.de" nur bis 2015-04-21, also noch vier Tage.

Könnte also sein, das man das dann nochmal machen muss, deshalb hänge ich hier jetzt auch nicht dran!

Und was die hochgeladenen Zertifikate von Max betrifft, es sind die gleichen wie von mir, es scheint aber so zu sein, das in der "DT-Root-CA-2.cer" das "TeleSecServerPassDE-2"-Zertifikat drin ist und im "smtp.strato.de.pem" das alte von damals. Das "imap.strato.de.pem" gleicht dem von mir heute erstellten und ist auch ein anderes als das von damals.

Außerdem kann man die Zertifikate unter Linux auch testen, ganz am Ende muss ein "ok" stehen:

# openssl s_client -CApath ./ -connect imap.strato.de:443
->
...
    Verify return code: 0 (ok)
...    


# openssl s_client -CApath ./ -connect smtp.strato.de:443
->
...
    Verify return code: 0 (ok)
...

Beim Test des SMTP-Server-Zertifikats wird jedoch immer nur das unter Linux mit OpenSSL heruntergeladene Zertifikat angezeigt, vielleicht ist das nun das "einzig" wahre.

Zitat von thg

Allerdings gleicht das Strato SMTP-Zertifikat keinem der oben heruntergeladenen, möglicherweise, gibt es da mehr als eins?

Des "Rätsels Lösung":

In meiner vorherigen Nachricht hatte ich insgesamt drei verschiedene SMTP-Server-Zertifikate heruntergeladen.

Was man in den Zertifikaten schwer erkennt, offenbart sich, wenn man sie auf dem Palm installiert:

Sie haben alle ein unterschiedliches Gültigkeitsdatum!

Beim Herunterladen der SMTP-pem-Dateien von der ssl-tools.net Web-Seite gibt es für "smtp.strato.de" zwei Zeilen, jeweils mit einem Zertifikat, einmal in der Zeile "TeleSec ServerPass DE-1" und einmal "TeleSec ServerPass DE-2".

Diese beiden Zertifikate sind (fast) abgelaufen, ersteres am 12.08.14 und letzteres zum 22.04.15 (das ist das aus meinem alten ZIP und gleicht dem, das Max hochgeladen hat), das Herunterladen kann man sich also sparen!

Die auf der Linux Kommando-Zeile mit OpenSSL heruntergeladenen SMTP- und IMAP-Server-Zertifikate sind hingegen bis zum 20.04.16 gültig und somit die richtigen.

Diese beiden habe ich jetzt zusammen mit dem alten "neuen" Telekom- und dem TeleSec2-Zertifikat hier angehängt, gültig bis 20.04.16, weil nicht alle Zugriff auf eine Linux-Kommandozeile haben bzw. Lust zu sowas haben. Und wie Cecil korrekt anmerkte, muss man beim Installieren der Zertifikate absolutes Vertrauen in die Quelle haben, weil man mit gefälschten Zertifikaten echt kriminelles machen kann - egal ob das der Staat oder die Mafia tut. Zugegebenermaßen halte ich das Risiko in unserem "Umfeld" für eher vernachlässigbar!

Ergänzung:
Wie Max geschrieben hat, sollte man die alten Zertifikate zuvor löschen, sonst hat man diese doppelt.

Ich hatte heute auch den Zertifikats-Fehler auf meinem Pre, allerdings verstehe ich nicht ganz weshalb, denn bis zum 21./22.04. ist es ja noch ein paar Tage hin.

Und weil's gerade so "schön" war, hier noch die Zertifikate für T-Online, gültig bis 30.03.16:

secureimap.t-online.de (Port 993)
securesmtp.t-online.de (Port 465)

Das "DeutscheTelekomRootCA2.pem" und das "TeleSecServerPassDE-2.pem" sind die gleichen wie bei Strato.

Was mich allerdings nerven würde wäre, wenn ich das jetzt jedes Jahr machen müsste, ich selbst habe noch 5 webOS-Geräte in Benutzung und dazu kommen noch ein paar aus dem "näheren" Umkreis die die neuen Zertifikate bräuchten ...

... und als Belohnung habe ich von T-Online 78 neue E-Mails bekommen (OK, vom letzten halben Jahr), alles ausschliesslich übler Spam, von Potenzmitteln zu "willigen" Frauen, über Millionen-Gewinne bis hin zu "letzten" Mahnungen, Rechnungen und was weiß ich.Ich frage mich, woher dieser Abschaum meine E-Mail Adresse her hat, man kann sie kaum erraten und nutzen tue ich sie auch nicht - kann eigentlich nur eine Telekomiker an irgendwelche Kriminellen vertickt haben, um sein Taschengeld aufzubessern

Zitat von woisthorst

nun ist auch das alte SMTP-Zertifikat von Strato abgelaufen, hier das Neue (nach der im thread von thg beschriebenen Methode erzeugt).

das Zertifikat ist bereits in meinem ZIP von oben enthalten!

Sollte es trotzdem Probleme mit dem Versenden von E-Mails geben: "Reboot tut gut".

Hilft das nicht, das Zertifikat löschen, neu installieren und neu starten, danach ging es bei mir ...

Hallo allerseits,

alle Jahre wieder, so zu sagen, daher mal wieder ein "Schwung" aktueller Zertifikate für T-Offline und Strato E-Mail, jew. für die "sichere" Variante von IMAP, POP3 und SMTP.

Diesmal habe ich sie alle unter Linux mit OpenSSL geholt:

openssl s_client -showcerts -connect secureimap.t-online.de:993
openssl s_client -showcerts -connect securepop.t-online.de:995
openssl s_client -showcerts -connect securesmtp.t-online.de:465
openssl s_client -showcerts -connect imap.strato.de:443
openssl s_client -showcerts -connect pop3.strato.de:443
openssl s_client -showcerts -connect smtp.strato.de:443

Das jeweils erste, angezeigte Zertifikat ist das für den Mail-Server, von einem der t-online-Zertifikate, z.B. dem secureimap ganz oben, bekommt man auch noch die Zwischenzertifikate, also z.B.:

1. secureimap.t-online.de
2. TeleSec ServerPass DE-2
3. Deutsche Telekom Root CA 2

Die T-Offline-Zertifikate laufen bis 2018, die von Strato nur bis 04/2017, die alten Zertifikate (erkennbar am "gültig bis") können im Zertifikatsmanager in den Geräteinfos gelöscht werden.

Viel Spass,

Okay, wir haben 2018, Ende 2018.

SmartPhones unter 5" sind praktisch nicht mehr zu bekommen, die neue Palm-Krücke für die man zwingend ein "grosses" SmartPhone braucht, ignoriere ich mal, hat zudem nichtmal eine Tastatur oder gar einen Slider (siehe: https://www.heise.de/newsticke…e-Smartphone-4191687.html und https://www.heise.de/newsticke…-Deutschland-4204878.html ).

Daher nutze ich nach wie vor mein BB Q10.

Aber, manchmal brauche ich nun ein zweites Gerät mit einer extra Nummer für SMS und E-Mail, schön klein bitte, also wie wär's mit einem meiner fast neuen Veers Die funktionieren noch einwandfrei, SMS sowieso, aber auch E-Mail, wenngleich es da (sicher nicht nur) bei Strato den bekannten Zertifikatsfehler gibt

Nochmal aber: wie in meinem Post vom 27.04.14 kann man sich die Zertifikate nach wie vor herunterladen und installieren

Das geht wie im Link beschrieben (siehe: http://www.cyberciti.biz/faq/t…iagnosis-ssl-certificate/ ) mit OpenSSL unter Linux oder MacOS X, zuerst die Zertifikate abfragen:

IMAP:
openssl s_client -showcerts -connect imap.strato.de:993
SMTP:
openssl s_client -showcerts -connect smtp.strato.de:465

Dann alles was zwischen "BEGIN/END CERTIFICATE" (und inkl. dieser Zeilen) steht in eine (reine) Textdatei imap.strato.de.pem bzw. smtp.strato.de.pem kopieren. Diese beiden Text-Dateien dann auf den Palm kopieren und über "Geräteinfos" - "Zertifikatmanager" installieren. Die alten, ev. vorhanden Zertifikate sollte man zuvor löschen.

Im Fall von Strato sind das übrigens jew. Zertifikatsketten, d.h. es gibt in jeder Datei zwei Zertifikate, also jew. zwei BEGIN/END-Blöcke, die man vollständig kopieren muss, ich habe alles unterhalb "Certificate chain" bis inkl. des zweiten "END CERTIFICATE" kopiert (natürlich inkl. des vollständigen Zertifikats):

0 s:/C=DE/O=Strato AG/OU=Rechenzentrum/ST=Berlin/L=Berlin/CN=smtp.strato.de
i:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-2
-----BEGIN CERTIFICATE-----
MIIILTCCBxWgAwIBAgIQLfeY8QVR4JonWKp9+Lg5OzANBgkqhkiG9w0BAQsFADCB
...
KLoMAJXHBLUMiAMBRaLreqxt5aK5gK/ytB+wpvIy5eGM
-----END CERTIFICATE-----
1 s:/C=DE/O=T-Systems International GmbH/OU=T-Systems Trust Center/ST=Nordrhein Westfalen/postalCode=57250/L=Netphen/street=Untere Industriestr. 20/CN=TeleSec ServerPass DE-2
i:/C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
-----BEGIN CERTIFICATE-----
MIIGrDCCBZSgAwIBAgIJAMdeAVgqw77nMA0GCSqGSIb3DQEBCwUAMHExCzAJBgNV
......
s7EXLeoDyhJrvTjSqPaX87PaKt0W0+N7h/fpNgcMfhE=
-----END CERTIFICATE-----

Sollte also für jeden, der es braucht zu bewerkstelligen sein

Geht wie bei den Strato-Zertifikaten:

openssl s_client -showcerts -connect secureimap.t-online.de:993
openssl s_client -showcerts -connect securesmtp.t-online.de:465

Hab's jetzt unter MacOS X im Terminal gemacht, da geht's also auch.

Getestet habe ich die Zertifikate nicht, aber zumindest lassen sie sich auf meinem Veer installieren und sehen "valide" aus. Sind übrigens auch wieder Zertifikats-Ketten.