Sicherheitswarnung (-Zertifikat) Stockbrowser bei Outlook(dot)com

C

chris84de

Neues Mitglied
0
Hallo Zusammen,

ich habe mich vor einigen Tage dazu entschieden, den "neuen" E-Mail-Dienst von MS Outlook(dot)com zu testen.

Dabei erhalte ich in den letzten 2-3 Tagen in unregelmäßigen Abständen innerhalb des E-Mail Kontos über die Webseite folgende Fehlermeldung:
"Sicherheitswarnung. Es ist ein Problem mit dem Sicherheitszertifikat für diese Website aufgetrten"
Beim Anzeigen des Zertifikats wird folgendes angezeigt:
"Dieses Zertifikat wurde nicht von einer vertrauenswürdigen Stelle ausgegeben [...]
Ausgestellt für:
Allgemeiner Name: gfx-ecn.hotmail.com
Organisation: Microsoft Corporation
Organisationseinheit: Windows Azure CDN
Seriennummer: [...]

Ausgestellt von:
Allgemeiner Name:
VeriSign Class 3 Extended Validation SSL SGC CA
Organisation: VersiSign, Inc.
Organisationseinheit: VeriSign Trust Network

Gültigkeit:
Ausgeben am:
07.11.2012
Läuft ab am:
09.11.2014

Fingerabdrücke: [...]"

Die Meldung erschein auch, wenn ich im Stock-Browser Cache, Cookies, etc. komplett lösche. Mein Handy ist mein HTC Desire One V (ICS; Stock Rom). Ich habe auf dem Handy bis dato keine weiteren Apps aus dem Store geladen und gehe auch nur auf vertrauenswürdige bzw. mir bekannte Seiten (daher würde ich ein ggf. Virus, Trojaner oder ähnl. ausschließen).

Unter dem iPhone 4 (von einem bekannten) mit neustem iOS erscheint diese Meldung im Stock-Browser nicht. Mit meinem PC erscheint diese Warnmeldung unter Win 7 und Firefox ebenfalls nicht.

Würde mich über eure Meinung und Rat zu dieser Warnmeldung freuen.
Ist es ggf. nur ein Fehler von Android oder sollte ich Bedenken in Sachen "Sicherheit" haben?

Vielen Dank im Voraus für eure Mühe!

Viele Grüße,

Chris
 
Hallo Chris,

und willkommen im Forum!
Mit einem so genannten X.509-Zertifikat werden bei einer damit gesicherten Verbindung genau zwei Ziele erreicht:

  1. Es wird die Verbindung zwischen deinem eigenen Client (hier dem "Stockbrowser") und dem Server (hier eben Outlook.com) verschlüsselt, Somit ist (zumindest nicht ohne allzu große Anstrengungen) kein Mitlesen dieser Verbindung möglich. Du solltest aber unbedingt wissen, dass es sich dabei lediglich um dieses kleine benannte Stück der Verbindung handelt, welches geschützt wird. Beim Provider selbst liegen die Mails wieder unverschlüsselt vor (dort können diese auch für "berechtigte Nutzer ausgeleitet" werden), und wie sie von diesem an den Provider des Empfängers und dann von diesem an den Empfänger weitergeleitet werden, kannst du weder wissen noch beeinflüssen. => Schätze diesen Schutz deiner Mails selbst ein!
  2. Das vom Mailserver verwendete Zertifikat wird deinem Client als eine Art elektronischer Ausweis vorgezeigt. In diesem "Ausweis" steht genau das, was du uns an Daten gepostet hast. Dein Client weiß also jetzt, dass er mit dem richtigen Server verbinden ist. Jetzt kannst du diesem (dir ja unbekannten) Ausweis einfach glauben. Besser ist ab er, du vertraust dem Aussteller dieses "Ausweises". Das ist ein so genanntes TrustCenter. In diesem Falle die etablierte Firma "VersiSign, Inc.".
    Vermutlich ist in diesem Falle das Herausgeberzertifikat des TrustCenters, mit dessen privaten Schlüssel das Serverzertifikat signiert wurde, nicht oder nicht richtig installiert. Schau also nach, ob du dieses Zertifikat in den Einstellungen unter Sicherheit > vertrauenswürdige Berechtigungen findest. Es muss dort alles (exakter Name, Verwendungszweck, Zertifikats-ID, Gültigkeit usw.) übereinstimmen. Und der Haken für die Berechtigung (der so genannte "Vertrauensanker") muss auch gesetzt sein. Notfalls kannst du dieses Z. von der Homepage des Trustcenters herunterladen und installieren.
    Ein Wort noch zum möglichen Risiko (außer, dass dir die Fehlermeldung auf den Geist geht): Es könnte damit möglich sein, dass ein "Dritter" dir vorspielt der Mailserver deines Providers zu sein, und deine Mails mitliest, ohne dass du es bemerkst. Derartiges wird durch die Verwendung der Zertifikate ja sofort angezeigt.
    Auch hier kannst du selbst einschätzen, inwieweit das deinen eigenen "Sicherheitsinteressen" zuwider läuft ... .
Willst du deine Mails so versenden und empfangen, dass sie wirklich nur von deinem Empfänger und von dir gelesen werden können, dann musst du selbst aktiv werden und eine ordentliiche Ende-zuEnde-Verschlüsselung anwenden. (Aber dazu ist <user> leider meistens zu bequem oder desinteressiert ... .)


MfG Peter
 
Herzlichen Dank Peter für deine außerordentliche Mühe und detailierten Informationen. Diese Kenntnisse waren mir über das Thema "Zertifikat" nicht bekannt und ich konnte defintiv etwas dazu lernen :) Vielen Dank!

Das Zertifikat "VeriSign Class 3 Extended Validation SSL SGC CA" taucht in dieser Bezeichnung in meinen HTC Einstellungen unter Sicherheit defintiv nicht auf. Nur vergleichbare "VeriSign Class 3 [...]" Versionen aber mit der Endung "Extended Validation SSL SGC CA".
Seit meinen Post hat sich die Lage zum Zertifikat nicht geändert und der Fehler taucht weiterhin auf... die Tage zuvor kam die Meldung 1x und beim Versuch rund einer Stunde später wurde diese Meldung nicht angezeigt...
Vielleicht scheint auf Seiten von Outlook(dot)com das Zertifikat zu wechseln?

Ich behalte es aufjedenfall im Auge und werde ggf. zu einem anderen E-Mail Anbieter (wieder) wechseln. Im vgl. dazu habe ich bei GMail u.a. nie ein solches Problem gehabt (wenn ich E-Mails im Browser via Handy abgerufen habe).

Erneut vielen Dank für deine Zeit.

Beste Grüße,

Chris

Der ursprüngliche Beitrag von 15:40 Uhr wurde um 16:34 Uhr ergänzt:

Was mir noch aufgefallen ist...
Der Stock-Browser von HTC Stellt die Homepage direkt als Mobile Version dar.
Dabei wird wie gesagt "VersiSign, Inc." verwendet als Verifiziert von.

Ich habe jetzt mal Firefox für Android ausprobiert und dort steht unter
Verfifiert von: Akamai Technologie (vergleichbar wie am PC mit Firefox).

Sind die Sicherheitszertifikate jeweils Bestandteil des Browsers?
 
Und jetzt hast du mich erwischt ... .
Bei den Mozilla-Produkten (vor allem dem Thunderbird) auf einem "richtigen PC" kenne ich mich perfekt aus. Zumindest, wenn es sich um Linux oder eine WinDOSe handelt. Da kann ich dir verbindlich sagen, dass beide Programme einen eigenen, vom Betriebssystem völlig unabhängigen Zertifikatsstore mitbringen, und sogar in welchen Dateien was gespeichert wird. (Zum Nachlesen, hier für den Thunderbird, beim Fx ist das sehr ähnlich: Die Dateien im Profil kurz erklärt)

Aber für den Fx auf dem Androiden weiß ich das leider (noch) nicht. Ich weiß nur, dass "der Androide" einen solchen besitzt, und dass die "Stock-Programme" diesen benutzen. Ich weiß auch, dass zum Bsp. mein Lieblings-Mailclient (Kaiten) wieder etwas eigenes mitbringt. Andererseits habe ich jetzt in den Tiefen des mobilen Fx gesucht, und nichts gefunden.
(=> ich bin sicher, dass die "Android-Wissensträger" auch diesen Beitrag bemerken und garantiert antworten :confused:)

Wie ich bereits geschrieben habe, weist sich der Server mit seinem Zertifikat aus. Genau gesagt, er benutzt dazu den privaten Schlüssel seines Schlüsselpaares. Denn diesen darf ja nur er besitzen! Und der Client prüft mit Hilfe des frei verfügbaren (öffentlichen) Zertifikates. Dieses kann er im Zertifikatsstore des Betriebssystems oder aber des Programms vorhalten. Aber das hatten wir ja schon.

Jetzt kann es ohne weiteres sein, dass die mobile und die "vollständige" Webseite je ein Zertifikat eines anderen Anbieters besitzt. Solche Zertifikate (Schlüsseldateien, da diese ja immer zusammen mit dem privaten Schlüssel verkauft werden) kosten richtig Geld und sind auch immer nur ein bis einige wenige Jahre gültig. Und da kann es schon sein, dass für einen weiteren Server ein anderer Anbieter für das Zertifikat gesucht wird. Wichtig ist nur, dass es sich zum einen um ein etabliertes TrustCenter handelt (dessen Herausgeberzertifikate wieder gegen Geld von den Herausgebern der Betriebssysteme bzw. Browser, MUA und anderer Programme bereits vorinstalliert werden ...) und vor allem, dass der im Zertifikat fest eingetragene Name des Servers exakt (!) mit dem tatsächlichen Servernamen übereinstimmt. Bei der kleinsten Abweichung erfolgt eine Warnmeldung, und das ist auch gut so! WOWEREIT!

Wenn alles stimmt (Servername, Herausgeberzertifikat, Gültigkeit), merkt <user> überhaupt nichts davon, die Adressleiste wird "grün", und alles läuft im Hintergrund.

MfG Peter
 
Erneut vielen Dank für deine Mühe.

Irgendwie scheint (für mich als Leihe) die Outlook(dot)com Homepage mit dem HTC Stockbrowser etwas "komisch" zu sein.
Eine zeitlang kommt die Fehlermeldung zum Zertifikat nicht mehr, aber teilweise ist das Schlosssymbol oberhalb geöffnet mit einem Fragezeichen und nach mehr mals hin und her klicken zwischen den Ordnern ist es dann irgendwie geschlossen (aber nicht grün gekennzeichnet). Und jetzt kommt auch wieder die Warnmeldung zum Zertifikat.

Ich werde mal schauen wie es sich im Laufe der Zeit diesbezüglich entwickelt und bei Fehlermeldung zum Zertifikat das "Ansteuern" abbrechen bzw. verschieben bis die Fehlermeldung nicht mehr erscheint.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
Datenverlust bei Outlook durch Synchronisation mit HTC Sync Manager
  • Ahnungslose
Antworten
0
Aufrufe
2.284
Ahnungslose
A
E
HTC One V wegen Leistungsproblemen bei Amazon zurückschicken?
  • ElDorado1
Antworten
4
Aufrufe
2.798
ElDorado1
E
D
HTC One V & MMS-Versand bei Rossmann mobil
  • DavidHasselhoff
Antworten
2
Aufrufe
3.903
Reiner61
R
Zurück
Oben Unten