Am Sonntag, 12. September 2004 07:47 schrieb Dieter Kluenter:
Du gibst hier den Pfad auf CA vor, laß dir doch mal die gesamte Kette ausweisen, also den Befehl ohne -CAfile eingeben.
~> openssl s_client -connect mail.utanet.at:995 -showcerts CONNECTED(00000003) depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=27:certificate not trusted verify return:1 depth=0 /C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at verify error:num=21:unable to verify the first certificate verify return:1 --- Certificate chain 0 s:/C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at i:/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com -----BEGIN CERTIFICATE----- MIIDJzCCApCgAwIBAgIDHvBAMA0GCSqGSIb3DQEBBAUAMIHEMQswCQYDVQQGEwJa QTEVMBMGA1UECBMMV2VzdGVybiBDYXBlMRIwEAYDVQQHEwlDYXBlIFRvd24xHTAb BgNVBAoTFFRoYXd0ZSBDb25zdWx0aW5nIGNjMSgwJgYDVQQLEx9DZXJ0aWZpY2F0 aW9uIFNlcnZpY2VzIERpdmlzaW9uMRkwFwYDVQQDExBUaGF3dGUgU2VydmVyIENB MSYwJAYJKoZIhvcNAQkBFhdzZXJ2ZXItY2VydHNAdGhhd3RlLmNvbTAeFw0wMzA4 MjYxNDMzNTJaFw0wNDA5MTExMjIyMjVaMHUxCzAJBgNVBAYTAkFUMQ8wDQYDVQQI EwZWaWVubmExDzANBgNVBAcTBlZpZW5uYTEXMBUGA1UEChMOVVRBIFRlbGVrb20g QUcxEjAQBgNVBAsTCVRJUy5TRS5VWDEXMBUGA1UEAxMObWFpbC51dGFuZXQuYXQw gZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAOD5D9+sKyNvAVxDV/0fdffIY2Lb YRhLVfuaErDzj2t331glJHhrcryLxutpnNWZlKG/mbBEpzld3dLUa7p2Ik1J3XUj 2uarLg9dPUL9tLfC9qfBQR/IAZv+JqBsriYvCUBHxIrHpykSBy2TU1XkbCoRRP+z A4p6Zp68152WTO/NAgMBAAGjdTBzMCgGA1UdJQQhMB8GCCsGAQUFBwMBBggrBgEF BQcDAgYJYIZIAYb4QgQBMDkGA1UdHwQyMDAwLqAsoCqGKGh0dHA6Ly9jcmwudGhh d3RlLmNvbS9UaGF3dGVTZXJ2ZXJDQS5jcmwwDAYDVR0TAQH/BAIwADANBgkqhkiG 9w0BAQQFAAOBgQBGb4v0x11RzsccQY3bZ78Fr/S0bAMV5YOgxlsaPtCErl/7iMAk n24xnsQAmnX25N/HE7WL8SPbjFsI2Iv0OTDMIYb3o34yAuo4PsUyaLSJkGwx+JH2 kBzYSjbw2z9x9UD6KN7rxPHoT4NbcEkAHNxGHJPz9FQdJ36Bw7MbzkrTYw== -----END CERTIFICATE----- --- Server certificate subject=/C=AT/ST=Vienna/L=Vienna/O=UTA Telekom AG/OU=TIS.SE.UX/CN=mail.utanet.at issuer=/C=ZA/ST=Western Cape/L=Cape Town/O=Thawte Consulting cc/OU=Certification Services Division/CN=Thawte Server CA/emailAddress=server-certs@thawte.com --- No client certificate CA names sent --- SSL handshake has read 965 bytes and written 332 bytes --- New, TLSv1/SSLv3, Cipher is DES-CBC3-SHA Server public key is 1024 bit SSL-Session: Protocol : TLSv1 Cipher : DES-CBC3-SHA Session-ID: 4882FFF5E5B9CA4BC9768CFDD181F9BD51050BB4B35B9E4DEC528F3B2DF2CEB8 Session-ID-ctx: Master-Key: 5863AD6CCDCC2955D376F654F935DECEA05727081A1368541E5CB8C09041F9979CE2672D2AB2387863413153E479861D Key-Arg : None Start Time: 1095024119 Timeout : 300 (sec) Verify return code: 21 (unable to verify the first certificate) --- +OK POP3 - Hello, sailor! plenty.utanet.at
Es hat den Anschein, als ob die Provider das Thema SSL/TLS nicht alllzu ernst nehmen und 'man in the middle attacs' provozieren.
Also die UTA sind wohl ziemlich fortschrittlich was TLS betrifft und haben auch schon Fehler korrigiert, nachdem ich sie darauf aufmerksam gemacht habe. Aber in diesem Fall ist mir nicht klar, ob ich ein lokales Problem habe. Al