Sicherheitszertifikat von GMX hat sich geändert

Alles rund um sicherheitsrelevante Fragen und Probleme.
Benutzeravatar
feldmaus
Beiträge: 1307
Registriert: 14.06.2005 23:13:22
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Deutschland

Sicherheitszertifikat von GMX hat sich geändert

Beitrag von feldmaus » 04.04.2023 17:07:13

Guten Tag meine lieben Linux-Menschen :D

ich habe unter Linux Debian mit dem e Mail Programm "Claws Mail" seit Kurzem das Problem, dass ich eine Aktualisierung des Sicherheits-Zertifikates bestätigen muss um meine GMX e Mails abrufen zu können.

Bekanntes Zertifikat:
  • Eigentümer:
    Name: mail.gmx.net
    Organisation: 1&1 Mail & Media GmbH
    Ort: Montabaur, DE
  • Unterzeichner:
    Name: TeleSec ServerPass Extended Validation Class 3 CA
    Organisation: T-Systems International GmbH
    Ort: Netphen, DE
  • Status:
    Fingerabdruck:
    SHA1: 96:26:7D: ...
    SHA256: 96:26:7D: ...
  • Status der Signatur: Korrekt
    Verfällt am: 23/04/10(Mo) 01:59
Neues Zertifikat:
  • Eigentümer:
    Name: mail.gmx.net
    Organisation: 1&1 Mail & Media GmbH
    Ort: Montabaur, DE
  • Unterzeichner:
    Name: Telekom Security ServerID OV Class 2 CA
    Organisation: Deutsche Telekom Security GmbH
    Ort: DE
  • Status:
    Fingerabdruck:
    SHA1: BF:A5:40: ...
    SHA256: BF:A5:40: ...
  • Status der Signatur: Korrekt
    Verfällt am: 24/04/02(Di) 01:59
Ist diese Aktualisierung seriös oder ein Angriff?

Das Verfalls-Datum finde ich merkwürdig.

Grüße

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 04.04.2023 17:53:15

feldmaus hat geschrieben: ↑ zum Beitrag ↑
04.04.2023 17:07:13
Ist diese Aktualisierung seriös oder ein Angriff?
Ich würde es als seriös betrachten.
feldmaus hat geschrieben: ↑ zum Beitrag ↑
04.04.2023 17:07:13
Das Verfalls-Datum finde ich merkwürdig.
02 April 2024 klingt für mich normal.

Benutzeravatar
QT
Beiträge: 1318
Registriert: 22.07.2004 21:08:02
Wohnort: localhost

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von QT » 04.04.2023 18:59:02

Wenn das "bekannte Zertifikat" am 10.4.2023 abläuft, muss der Anbieter halt auch vorher aktiv werden und ein neues Zertifikat in Nutzung bringen...

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von cosinus » 04.04.2023 22:39:55

bluestar hat geschrieben: ↑ zum Beitrag ↑
04.04.2023 17:53:15
Ich würde es als seriös betrachten.
Gibt es denn ne Möglichkeit, dass Zertifikat auf einfache Art und Weise zu prüfen bzw einzusehen?
Hab hier auf die Schnelle nur rel. umständliche Befehle mit openssl gefunden :|

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 04.04.2023 22:56:52

cosinus hat geschrieben: ↑ zum Beitrag ↑
04.04.2023 22:39:55
bluestar hat geschrieben: ↑ zum Beitrag ↑
04.04.2023 17:53:15
Ich würde es als seriös betrachten.
Gibt es denn ne Möglichkeit, dass Zertifikat auf einfache Art und Weise zu prüfen bzw einzusehen?
https://crt.sh/?id=6481844597

Benutzeravatar
heisenberg
Beiträge: 4123
Registriert: 04.06.2015 01:17:27
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von heisenberg » 04.04.2023 23:00:04

Für einen schnellen Check gibt's verschiedene Webseiten, die SSL-Zertifikate prüfen. Schnellere oder sehr intensive(https://www.ssllabs.com/ssltest/).

Ich habe mir ein PHP-Script gebastelt, dass die openssl-Ausgabe parst und die Zertifikate validiert:

https://codeberg.org/megabert/script-pa ... _check.php

Sieht dann so aus:

Code: Alles auswählen

$ php ssl_check.php -connect mail.gmx.net:25 -starttls smtp

CN     : mail.gmx.net                            
Start  : Tue, 28 Mar 2023 10:50:34 +0200         
End    : Tue, 02 Apr 2024 01:59:59 +0200         
Issuer : Telekom Security ServerID OV Class 2 CA
Valid  : 0 (ok)

Alternate Names

        mail.gmx.net                            
        mail.gmx.de                             
        smtp.gmx.net                            
        smtp.gmx.de                             
        imap.gmx.net                            
        imap.gmx.de                             
        pop.gmx.net                             
        pop.gmx.de                              

Die Anzeige "Valid: 0 (ok)" ist die Validierung vom PHP-SSL-Parser und bedeutet, dass die Zertifikatskette vollständig ist. D. h. das Zertifikat ist durch lokale CA-Zertifikate validiert.

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von cosinus » 04.04.2023 23:08:39

Danke, crt.sh sieht brauchbar auch! Danke auch dir, heisenberg :)

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 05.04.2023 11:24:38

feldmaus hat geschrieben: ↑ zum Beitrag ↑
04.04.2023 17:07:13
Fingerabdruck:
SHA1: 96:26:7D: ...
SHA256: 96:26:7D: ...
feldmaus hat geschrieben: ↑ zum Beitrag ↑
04.04.2023 17:07:13
Fingerabdruck:
SHA1: BF:A5:40: ...
SHA256: BF:A5:40: ...
An den TE gerichteter Hinweis:
Ich möchte gerne noch anmerken, dass die Anonymisierung von Fingerabdrücken, ohne explizite Kenntlichmachung, hier durchaus zu Verwirrung führen kann und evtl. zu falschen Rückmeldungen führen kann.

Das alte Zertifikat hatte die Fingerabdrücke:
* SHA-256: B5:C0:58:01:F4:D1:89:0A:EB:1C:30:96:75:9A:8F:62:A6:78:54:B0:3A:2F:58:02:E5:96:48:71:5A:30:0E:95
* SHA-1: D7:62:DE:D4:F9:90:A6:AC:10:98:2D:1E:0E:7F:3B:CB:06:A7:A:4C8
Zuletzt geändert von bluestar am 05.04.2023 18:17:15, insgesamt 1-mal geändert.

Benutzeravatar
feldmaus
Beiträge: 1307
Registriert: 14.06.2005 23:13:22
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Deutschland

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von feldmaus » 05.04.2023 17:21:17

Danke Euch,

@bluestar
Danke für den Hinweis, werde die Anonymisierung das nächste mal extra kennzeichnen.

Die Fingerabdrücke von meinem neuen Zertifikat stimmen aber nicht mit denen von Dir genannten überein. Bedeutet das, dass ich einem Angriff ausgesetzt bin?

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von cosinus » 05.04.2023 20:24:50

Wie wärs wenn du die fingerprints mal komplett posten würdest? :wink:

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 05.04.2023 22:40:52

feldmaus hat geschrieben: ↑ zum Beitrag ↑
05.04.2023 17:21:17
Die Fingerabdrücke von meinem neuen Zertifikat stimmen aber nicht mit denen von Dir genannten überein.
Ich hab auch die vom alten Zertifikat fälschlicherweise gepostet.

Benutzeravatar
feldmaus
Beiträge: 1307
Registriert: 14.06.2005 23:13:22
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Deutschland

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von feldmaus » 06.04.2023 00:30:12

Bekanntes Zertifikat:
  • Status:
    Fingerabdruck:
    SHA1: 96:26:7D:A3:F4:D9:CF:47:10:E9:C7:75:D4:5D:E7:59:91:D7:98:D4
    SHA256: 96:26:7D:A3:F4:D9:CF:47:10:E9:C7:75:D4:5D:E7:59:91:D7:98:D4:62:F5:CD:62:79:96:40:36:2A:6A:27:4E
Neues Zertifikat:
  • Status:
    Fingerabdruck:
    SHA1: BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61
    SHA256: BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61:62:F5:CD:62:79:96:40:36:2A:6A:27:4E

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 06.04.2023 00:50:09

feldmaus hat geschrieben: ↑ zum Beitrag ↑
06.04.2023 00:30:12
Bekanntes Zertifikat:
  • Status:
    Fingerabdruck:
    SHA1: 96:26:7D:A3:F4:D9:CF:47:10:E9:C7:75:D4:5D:E7:59:91:D7:98:D4
    SHA256: 96:26:7D:A3:F4:D9:CF:47:10:E9:C7:75:D4:5D:E7:59:91:D7:98:D4:62:F5:CD:62:79:96:40:36:2A:6A:27:4E
Neues Zertifikat:
  • Status:
    Fingerabdruck:
    SHA1: BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61
    SHA256: BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61:62:F5:CD:62:79:96:40:36:2A:6A:27:4E
Es ist absolut unwahrscheinlich, dass der SHA256 Hash den SHA1 Hash enthält.

Benutzeravatar
feldmaus
Beiträge: 1307
Registriert: 14.06.2005 23:13:22
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Deutschland

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von feldmaus » 06.04.2023 06:16:12

Danke für Eure Rückantwort.

Hier das Beweisfoto, dass ich mich nicht versehen habe.

https://imgur.com/a/cZbUkcj

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von cosinus » 06.04.2023 09:42:12

Ist das ein Bug in deinem Programm? :?

Hab mir mal mit openssl das Servercert geladen und in mailgmxnet.crt gespeichert. Dann die Fingerprints, siehe unten; SHA1 passt noch, aber für SHA256?! 8O

SHA1:

Code: Alles auswählen

$ openssl x509 -noout -fingerprint -sha1 -in mailgmxnet.crt 
sha1 Fingerprint=BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61
SHA256:

Code: Alles auswählen

$ openssl x509 -noout -fingerprint -sha256 -in mailgmxnet.crt 
sha256 Fingerprint=39:42:05:48:0A:63:82:D4:88:2A:CE:1C:9E:B4:BB:36:C8:99:2E:E3:66:0E:7D:D1:BF:61:1B:1F:43:E4:EE:35

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 06.04.2023 12:26:14

cosinus hat geschrieben: ↑ zum Beitrag ↑
06.04.2023 09:42:12
Ist das ein Bug in deinem Programm? :?

Hab mir mal mit openssl das Servercert geladen und in mailgmxnet.crt gespeichert. Dann die Fingerprints, siehe unten; SHA1 passt noch, aber für SHA256?! 8O

SHA1:

Code: Alles auswählen

$ openssl x509 -noout -fingerprint -sha1 -in mailgmxnet.crt 
sha1 Fingerprint=BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61
SHA256:

Code: Alles auswählen

$ openssl x509 -noout -fingerprint -sha256 -in mailgmxnet.crt 
sha256 Fingerprint=39:42:05:48:0A:63:82:D4:88:2A:CE:1C:9E:B4:BB:36:C8:99:2E:E3:66:0E:7D:D1:BF:61:1B:1F:43:E4:EE:35
Spannend daran ist, das crt.sh bei beiden Fingerprints kein Zertifikat findet ...

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von cosinus » 06.04.2023 12:30:36

bluestar hat geschrieben: ↑ zum Beitrag ↑
06.04.2023 12:26:14
Spannend daran ist, das crt.sh bei beiden Fingerprints kein Zertifikat findet ...
Ist mir auch schon aufgefallen. Kann es sein, dass GMX für den Mailserver über Port 465 ein anderes Cert nimmt als für seine HTTPS-Zugänge?

Bei crt.sh bekomm ich jetzt nur noch 502 Bad Gateway :x

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 06.04.2023 12:49:54

cosinus hat geschrieben: ↑ zum Beitrag ↑
06.04.2023 12:30:36
Ist mir auch schon aufgefallen. Kann es sein, dass GMX für den Mailserver über Port 465 ein anderes Cert nimmt als für seine HTTPS-Zugänge?
Dennoch sollte das Zertifikat anhand des SHA256 bzw. SHA1 Fingerprints bei der Suche dort doch zu finden sein, oder?
Ich habe das eben mal mit einem Server-Zertifikat getestet, wenn ich dort den Fingerprint ermittele und danach bei crt.sh suche, dann bekomme ich das passende Zertifikat angezeigt.

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von cosinus » 06.04.2023 12:53:48

Wie kommen die Certs denn bei crt.sh rein? Fragt der Server die alle ab oder wie läuft das?

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 07.04.2023 11:28:02

cosinus hat geschrieben: ↑ zum Beitrag ↑
06.04.2023 12:53:48
Wie kommen die Certs denn bei crt.sh rein? Fragt der Server die alle ab oder wie läuft das?
Die Zertifikate werden von den CAs bei der Ausstellung dort eingetragen. Details siehe hier: https://de.wikipedia.org/wiki/Certificate_Transparency

Da das Zertifikat als gültig angesehen wird, wundere ich mich, dass ich zu dem Fingerprint (SHA1 oder SHA256) im Transparency Log nichts finde.

Die Frage ist also, wieso gibt es hier ein offensichtlich gültiges Zertifikat mit nicht zu validierendem Fingerprint.

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 07.04.2023 11:38:12

Ich habe die Schritte einmal mit meinem Mailserver durchprobiert - immer mit SHA256 Fingerprint:
1) Fingerprint des aktiven Zertifikates (Datei ermittelt)
2) crt.sh Fingerprint gesucht, Zertifikat wird gefunden und entspricht dem gesuchten.

Danach
a) openssl s_client -connect xxx:xxx und das Zertifikat abgespeichert
b) Fingerprint der Datei ermittelt
c) der Fingerprint passt zu dem (1).

So langsam gehen mir die Ideen was Gmx angeht, aus.

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 07.04.2023 11:41:13

Und der nächste Test:

https://de.ssl-tools.net/mailservers/mail.gmx.net

Dort wird auch der Fingerprint ausgegeben, der sich nicht über crt.sh validieren lässt.

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von cosinus » 07.04.2023 14:39:05

bluestar hat geschrieben: ↑ zum Beitrag ↑
07.04.2023 11:28:02
Die Frage ist also, wieso gibt es hier ein offensichtlich gültiges Zertifikat mit nicht zu validierendem Fingerprint.
Ganz offensichtlich nutzt GMX für seine Mailserver mit den Protokollen SMTPS/POP3S ein anderes Cert als für seine HTTPS-Seite. Hab das auch mal bei pop.gmx.net:995 gemacht siehe unten. Aber warum kennt crt.sh das nicht?! :?

Gibt es noch andere Seiten wie crt.sh?

Code: Alles auswählen

$ openssl s_client -connect pop.gmx.net:995 | openssl x509 -fingerprint -sha256

depth=2 C = DE, O = T-Systems Enterprise Services GmbH, OU = T-Systems Trust Center, CN = T-TeleSec GlobalRoot Class 2
verify return:1
depth=1 C = DE, O = Deutsche Telekom Security GmbH, CN = Telekom Security ServerID OV Class 2 CA
verify return:1
depth=0 C = DE, O = 1&1 Mail & Media GmbH, ST = Rheinland-Pfalz, L = Montabaur, CN = mail.gmx.net
verify return:1


sha256 Fingerprint=39:42:05:48:0A:63:82:D4:88:2A:CE:1C:9E:B4:BB:36:C8:99:2E:E3:66:0E:7D:D1:BF:61:1B:1F:43:E4:EE:35


-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Benutzeravatar
bluestar
Beiträge: 2419
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von bluestar » 07.04.2023 15:12:01

Ich bin den beiden Zertifikaten von crt.sh und von openssl mal auf den Grund gegangen:

gleich sind
* Seriennummer
* gültig ab
* gültig bis
* RSA Modulus
* RSA Exponent
* X590v3 KeyId
* X509v3 Subject Key Identifier

crt.sh

Code: Alles auswählen

    Signature Algorithm: sha256WithRSAEncryption
         87:f3:a4:b5:54:43:1d:e4:1e:1a:f1:8b:3b:2f:fc:0e:1f:98:
         f3:48:62:a0:b6:2c:02:55:7d:92:74:09:2e:53:e3:f7:ba:35:
         9b:49:4b:db:ae:9a:c2:08:8d:87:f6:d9:2d:4c:e2:4c:ff:32:
         d0:98:b3:51:86:e5:fe:68:8a:a5:18:ac:bb:7d:56:47:7f:e2:
         07:4a:f7:aa:fe:a9:8b:67:de:eb:82:e5:17:4b:2f:0c:e0:a0:
         64:68:7b:80:45:2f:ed:e9:db:fa:c0:aa:7e:48:c8:94:d2:05:
         a7:92:a2:d7:d1:bc:23:5f:12:9f:bd:a4:03:41:fb:b8:80:1e:
         57:6b:cd:61:20:15:c6:f9:06:5e:cb:a5:41:40:78:f6:86:a5:
         1b:8b:dc:86:db:f2:90:74:cb:85:74:a9:f9:bf:19:07:22:cd:
         0f:94:5b:fb:e1:3e:b4:a0:bb:c0:e1:7d:1d:4b:1d:b0:c0:f8:
         39:05:f6:6e:e8:6e:30:0d:3e:50:21:98:19:62:b0:87:60:eb:
         63:5c:87:52:b7:34:1c:b8:da:36:d6:52:20:9a:80:ba:9f:ae:
         6c:58:48:db:2f:34:2c:24:6a:88:32:79:64:7e:da:51:fa:f2:
         50:f2:5c:f1:8a:91:26:7c:e6:4a:f7:b6:c3:03:31:dd:4e:00:
         c4:8f:f0:33:eb:78:d9:f6:14:a7:ef:22:b1:f0:3f:0b:b2:89:
         79:37:12:3a:7b:94:11:e5:5a:6d:3b:b9:b4:89:41:eb:e0:c6:
         90:60:c9:69:d1:e2:b1:62:31:2d:3e:56:82:37:de:c8:5b:26:
         01:e6:2f:f2:0f:1a:5f:8a:38:9c:33:1a:09:6d:fa:48:04:d5:
         56:da:2f:ea:dc:f6:5d:2c:2e:50:d1:47:8f:84:5d:3a:b6:c6:
         50:6c:39:ed:e3:e8:47:72:0f:8b:7a:f9:ff:b8:53:15:cb:a3:
         0b:86:ef:b7:12:63:28:22:42:ca:3c:9d:d2:c6:82:51:48:9f:
         f9:da:af:9d:7f:26
 
und das präsentierte Zertifikat:

Code: Alles auswählen

    Signature Algorithm: sha256WithRSAEncryption
         85:10:79:86:88:5c:9e:53:8d:13:7d:80:6b:30:c9:cf:f1:36:
         f5:bb:21:8f:59:fe:da:fe:be:31:c9:1f:c0:ca:60:03:36:21:
         05:aa:3a:7c:8d:37:88:8c:4c:68:4a:ab:67:a0:b2:4d:f0:7d:
         e3:f7:2c:34:2d:c8:4b:a5:01:16:e7:98:aa:a7:7f:d5:f0:72:
         67:fb:52:41:07:98:05:12:7f:bf:47:43:62:2b:5c:e5:bc:29:
         24:71:37:dd:1c:34:12:da:a9:83:23:a5:4b:61:1b:d4:28:a1:
         27:1e:7e:cf:2d:60:e0:fe:9c:dd:0a:3b:52:da:44:df:56:f2:
         55:e6:d6:df:3d:cf:9b:0a:60:bb:08:1f:0a:bb:8e:fb:07:f3:
         11:eb:8b:d7:9f:67:65:b1:b5:05:c2:c9:40:f9:e2:5a:7c:21:
         54:11:08:d6:44:f9:64:5e:f1:4a:39:ea:bb:e6:d9:17:94:03:
         e2:a8:01:f2:19:a7:65:bf:4b:cc:46:ad:43:22:13:21:d5:0f:
         d8:6e:26:cf:9f:fb:33:a0:c2:b4:7d:96:fc:4c:69:80:de:04:
         a2:c3:4f:2d:3e:37:6d:04:41:70:d2:5e:99:e0:e0:37:33:00:
         d8:c0:ac:4f:03:12:84:e2:e4:3a:ec:8f:8f:2b:34:98:8f:c8:
         cb:36:b1:1b:85:3e:a2:cd:1e:fa:59:27:1a:77:00:03:61:68:
         bb:a7:a6:f4:ba:8d:c3:94:76:7a:f9:c3:da:a8:f6:80:aa:56:
         0a:91:b2:2f:12:3b:8d:a5:b4:d3:86:27:e5:a4:b9:c9:80:03:
         68:12:50:b9:84:e2:3d:94:0c:12:06:a9:ea:6c:f8:ef:d0:8a:
         c0:7e:49:e4:13:19:6d:9c:b3:da:35:e1:7a:4f:97:03:36:6c:
         7b:cc:de:03:07:41:d7:3e:0c:bd:9b:14:87:ec:45:c4:91:a2:
         1d:86:bc:7c:b0:48:06:f6:42:9d:f8:0c:a7:fa:8d:98:81:b2:
         e3:da:c2:89:09:0f
Was mir noch auffällt mein openssl dekodiert den Teil 1.3.6.1.4.1.11129.2.4.2 des Zertifikates nicht, der für x.509 extension for certificate transparency SCTs steht, bei crt.sh fehlen die Infos jedoch komplett.

Wer kann uns hier Licht ins Zertifikate-Dunkel bringen?? Ich würde das gerne verstehen ;)

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Sicherheitszertifikat von GMX hat sich geändert

Beitrag von cosinus » 11.04.2023 14:55:22

Ich hab mit dem certbot auch mal ein wenig herumgespielt. Sowohl mit certbot an der Kosole als auch über die Let's Encrypt Option in der Sophos UTM. Nach kurzer Zeit waren diese austellten Certs auch bei crt.sh drin, aber mit anderen fingerprints?!

Was ist denn da los bei crt.sh? :?

Antworten