Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Thunderbird Meldung mit Zertifikatsproblem mit hispeed.ch

Rapport Thunderbird avec un problème de certificat avec hispeed.ch

PiusV · 2025-09-15T15:34:28+00:00

J'utilise Thunderbird pour les e-mails et je l'ai connecté au compte Hispeed. Cela fonctionne depuis des années. Maintenant, pendant quelques jours au début de Thunderbird, j'ai toujours le message "Le certificat pour imap.hispeed.ch ne vient pas d'une source fiable. [UPL-IMAGE-PREVIEW UUID = 1876A54D-7B1-81DC-B8C6AD82FC6E URL = https: //community.sunity.ch/assets/2025-09-1579503-615064-hunderbird-00.png old = {text?}] [UPL-IMAGE-PREVIEW UUID = 7FFE183F-1135-B3C1-C741FCC4D2A7 URL = https: //community.sunity.ch/assets/2025-09-157950368-488505-hunderbird-01.png old = {text?}] Que doit être adapté? Salutation Pie

pato

PiusV Danke, da sieht etwas nicht gut aus:

verify return:1
40F7D8A563770000:error:0A0003FC:SSL routines:ssl3_read_bytes:sslv3 alert bad record
mac:../ssl/record/rec_layer_s3.c:1599:SSL alert number 2

und:
SSL handshake has read 4222 bytes and written 443 bytes
Verification error: certificate signature failure

Du hast im PDF jedoch den wichtigsten Teil, das öffentliche Zertifikat welches du bekommen hattest, ausgelassen, oder wurde es nicht angezeigt?

Es sieht so aus als sei auf deiner Installation folgendes Zertifikat korrupt “GlobalSign GCC R3 DV TLS CA 2020”.
Du hast alle aktuellen Updates für dein Linux installiert? Es gab da letztes Jahr mal ein Bug dazu.

So wie es aussieht wurde dieses Zertifikat im Juli frisch erstellt, aber dein PC vertraut dem nicht, warum auch immer:
i:C = BE, O = GlobalSign nv-sa, CN = GlobalSign GCC R3 DV TLS CA 2020
a😛KEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Jul 21 14:12:48 2025 GMT; NotAfter: Aug 22 14:12:47 2026 GMT

Mit einem aktellen Debian Linux sieht es so aus:
`openssl s_client -CApath /etc/ssl/certs/ -connect imap.hispeed.ch:993
CONNECTED(00000003)
depth=2 OU = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = BE, O = GlobalSign nv-sa, CN = GlobalSign GCC R3 DV TLS CA 2020
verify return:1
depth=0 CN = mail.hispeed.ch

verify return:1

Certificate chain
0 s:CN = mail.hispeed.ch
i:C = BE, O = GlobalSign nv-sa, CN = GlobalSign GCC R3 DV TLS CA 2020
a😛KEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Jul 21 14:12:48 2025 GMT; NotAfter: Aug 22 14:12:47 2026 GMT
1 s:C = BE, O = GlobalSign nv-sa, CN = GlobalSign GCC R3 DV TLS CA 2020
i😮U = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
a😛KEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Jul 28 00:00:00 2020 GMT; NotAfter: Mar 18 00:00:00 2029 GMT
2 s😮U = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
i😮U = GlobalSign Root CA - R3, O = GlobalSign, CN = GlobalSign
a😛KEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256

v:NotBefore: Mar 18 10:00:00 2009 GMT; NotAfter: Mar 18 10:00:00 2029 GMT

Server certificate
—–BEGIN CERTIFICATE—–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—–END CERTIFICATE—–
subject=CN = mail.hispeed.ch

issuer=C = BE, O = GlobalSign nv-sa, CN = GlobalSign GCC R3 DV TLS CA 2020

No client certificate CA names sent
Peer signing digest: SHA256
Peer signature type: RSA-PSS

Server Temp Key: ECDH, prime256v1, 256 bits

SSL handshake has read 4489 bytes and written 447 bytes

Verification: OK

New, TLSv1.2, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES128-GCM-SHA256
Session-ID: FB8BE2FCC6490ABCBFF046C2491738C9397F222282793B13F1E23AA808D86E67
Session-ID-ctx:
Master-Key: 76E7288DA2556759583D21C44587205F39E2EB16D359EBFE50F4A7631E86E6682C9F5A73BB0089C05B3B10DB0B0C3B49
PSK identity: None
PSK identity hint: None
SRP username: None
TLS session ticket lifetime hint: 86400 (seconds)
TLS session ticket:
0000 - 61 34 39 65 64 64 66 35-2d 39 61 62 37 2d 34 00 a49eddf5-9ab7-4.
0010 - d3 31 2a 53 cd 66 00 f4-a0 6d 72 b4 8c 54 3c cb .1*S.f…mr..T<.
0020 - 30 35 01 18 52 20 11 11-c0 d5 db 3d bd c5 e3 1f 05..R …..=….
0030 - 14 ca 43 31 5a 0b db 96-b0 e0 e7 77 c8 7f c9 31 ..C1Z……w…1
0040 - 56 d6 ca 22 a6 64 04 00-3d b9 bb 8e 22 dd 17 ac V..“.d..=…”…
0050 - 5e 4d c6 c5 64 15 3a b1-5c 21 0a 3d d7 0a b5 51 ^M..d.:.!.=…Q
0060 - f4 92 0f f8 6b ac 60 7d-04 20 71 fb 21 2f 93 81 ….k.}. q.!/.. 0070 - 2a 10 6d a8 4d 84 78 6c-a8 b0 52 b0 d2 50 7e c0 *.m.M.xl..R..P~. 0080 - 16 2a c0 45 e4 d8 c7 a9-bc 7a 4e 85 5d 35 3a 2d .*.E.....zN.]5:- 0090 - 4f 03 48 33 14 1f d4 9a-d4 65 e4 56 81 3b 38 bd O.H3.....e.V.;8. 00a0 - 9f c8 dc a1 63 27 e5 33-16 98 6e e7 23 b2 f7 7e ....c'.3..n.#..~ 00b0 - cb 3a 15 f5 82 a8 e4 3a-01 2b 71 cd ce 61 49 c6 .:.....:.+q..aI. 00c0 - e3 f0 b2 d4 6e 84 65 a4-72 5d 2a 60 83 79 e5 61 ....n.e.r]*.y.a

Start Time: 1758144172
Timeout   : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: yes

—

OK [CAPABILITY IMAP4rev1 AUTH=PLAIN] UPC Swiss server ready.
BYE Disconnected for inactivity.
closed`

PiusV

pato

Zu deinen Fragen folgendes:

Die Zertifikate wurden schon angezeigt. Habe ich weggelassen (Sicherheit??).
Linux Mint ist auf den neusten Stand und alles ist aktualisiert.

Ich stelle einfach fest, dass die Fehlermeldung betreffend Zertifikat nur erscheint, wenn ich nordVPN aktiviert habe. wenn ich diesen ausschalte erscheint keine Fehlermeldung.

Ist einfach seltsam, da dies vor kurzem nicht so war. Eventuell wurde da was mit einem Update verschärft oder passt nicht ???

Gruss

pato

@Daniele_Sunrise es wäre schön, dass wenn man Code einfügt, der Text nicht umformatiert wird, bis zum abschliessenden “code fertig” Zeichen. Ausser das “Code einfügen” ist nicht dafür gedacht, dann bräuchte es eine Funktion welche erlaubt die Formatierung beizubehalten.

Und noch ein Wunsch, es wäre schön wenn es erlaubt wäre, Text Dateien mit einer .txt Endung hochzuladen.

Daniele_Sunrise

pato Ich habe soeben TXT Dateien freigeschaltet. Kannst du es bitte einmal testen? Bezüglich dem Code muss ich kurz mit unseren Entwicklern rücksprache halten. Bis dahin empfehle die TXT Datei Lösung zu nutzen.

Liebe Grüsse
Daniele

pato

Daniele_Sunrise Konnte die Textdatei erfolgreich testen.

ssl-test.txt

6kB

Angehängt nun das Resultat von meiner Linux Mint Installation, aber noch Version 21.3, auch hier keine Probleme:

cat /etc/issue
Linux Mint 21.3 Virginia \n \l

pato

PiusV Dann wird wohl NordVPN das Zertifikat ersetzen damit sie deine Mails mitlesen können, etc. Sehr geschickt von denen gelöst.
Zumindest könnten sie das, wenn du dem falschen Zertifikat zustimmst.

Maxtech

Im Thunderbird gibt es eine Einstellung
“Aktuelle Gültigkeit von Zertifikaten durch Anfrage bei OCSP-Server bestätigen lassen”

Hatte solch komische Fehlermeldungen auch schon im Firefox.
Dann habe ich abgehakt und weg war die Meldung.

pato

Maxtech Bei PiusV wird ihm das Zertifikat eben sogar als ungültig angezeigt, wenn er es mittels openssl prüft.

PiusV

Maxtech

Diese Einstellung bewirkt betreffen meinem Problem nichts. Ob markiert oder nicht.

PiusV

Da bleibt mir wohl nichts anderes als an nordvpn zu gelangen oder nordvpn vor dem Nutzen von Thunderbird auszuschalten.

PiusV

Hallo,

so wie es aktuell aussieht, ist das Problem gelöst. Nach Aussage von nordvpn werden durch die e-Mail Anbieter, bekannte VPN IP Adressen gesperrt. Das heisst konkret in meinem Fall, dass Sunrise VPN IP Adressen sperrt. Was aus meiner Sicht nicht ok ist!!! Sehe keinen Grund, dass Sunrise VPN IP’s von nordvpn sperrt.

Viel Grüsse

😞😞

pato

PiusV VPNs werden gerne für Hacking Zwecke missbraucht, deshalb werden die noch gerne mal blockiert. Dies erklärt aber noch nicht das ungültige Zertifikat…

PiusV

pato

Hallo, bin mit deiner Aussage einverstanden. Das Problem ist jetzt aber, dass dies zwischen nordvpn und Sunrise hin und her geschoben ist. Jeder zeigt auf den andern und keiner ist an einer effektiven Lösung oder Analyse bereit. Ich als Aussenstehender (zu wenig Kenntnisse) kann da leider wenig beitragen. Also muss ich wohl jedes mal vor dem Nutzen von Thunderbird VPN ausschalten.

Gruss und Danke für die Unterstützung

pato

PiusV Ja NordVPN wird da sicher nicht helfen, sonst müssten sie gegebenenfalls zugeben, dass sie illegales Man in the Middle machen um an deine Passwörter etc. zu kommen 😃
Ich persönlich würde die Finger davon lassen.

PiusV

pato

Kannst du einen VPN Provider empfehlen der seriöser ist?

pato

PiusV Gar kein VPN verwenden. In der Schweiz ist der Überwachungsstaat noch nicht ganz so schlimm wie in vielen anderen Ländern.

GrandDixence

Der sicherste VPN-Provider ist man selber. Entweder man baut alle VPN-Tunneln selber auf und betreut alle VPN-Endpunkte selber auf eigener Hardware. Falls das Fachwissen für den Aufbau eigener VPN-Tunneln auf eigener Hardware fehlt, lässt man die Finger tunlichst weg von fremden VPN-Tunnels! Siehe auch Beitrag Nr. 8 unter:

https://community.swisscom.ch/d/809999-sim-swap-maximaler-schutz/8

Wie bereits mehrmals deutlich und klar von verschiedenen Seiten mitgeteilt worden ist, kann man sich an fremden VPN-Tunnels (von irgendwelchen VPN-Providern) nur die “Finger verbrennen”. Nochmals:

Finger weg von ALLEN VPN-Providern!

Wieso ist man hier so erpicht auf einen VPN-Tunnel? Will man diesen VPN-Tunnel für irgendwelche illegale Zwecke nutzen?

oldskool9000

pato

Noch nicht, aber bald ? höchstens ein paar Jahre noch ?
Wenn man so liest, was der Bund im neuen Fernmeldeüberwachungsgesetz so reinschleusen will/möchte/wollte …

« Page précédente