Sicherheitszertifikat von GMX hat sich geändert

[feldmaus]

Guten Tag meine lieben Linux-Menschen

ich habe unter Linux Debian mit dem e Mail Programm "Claws Mail" seit Kurzem das Problem, dass ich eine Aktualisierung des Sicherheits-Zertifikates bestätigen muss um meine GMX e Mails abrufen zu können.

Bekanntes Zertifikat:

• Eigentümer:
  Name: mail.gmx.net
  Organisation: 1&1 Mail & Media GmbH
  Ort: Montabaur, DE
• Unterzeichner:
  Name: TeleSec ServerPass Extended Validation Class 3 CA
  Organisation: T-Systems International GmbH
  Ort: Netphen, DE
• Status:
  Fingerabdruck:
  SHA1: 96:26:7D: ...
  SHA256: 96:26:7D: ...
• Status der Signatur: Korrekt
  Verfällt am: 23/04/10(Mo) 01:59

Neues Zertifikat:

• Eigentümer:
  Name: mail.gmx.net
  Organisation: 1&1 Mail & Media GmbH
  Ort: Montabaur, DE
• Unterzeichner:
  Name: Telekom Security ServerID OV Class 2 CA
  Organisation: Deutsche Telekom Security GmbH
  Ort: DE
• Status:
  Fingerabdruck:
  SHA1: BF:A5:40: ...
  SHA256: BF:A5:40: ...
• Status der Signatur: Korrekt
  Verfällt am: 24/04/02(Di) 01:59

Ist diese Aktualisierung seriös oder ein Angriff?

Das Verfalls-Datum finde ich merkwürdig.

Grüße

[bluestar]

Ist diese Aktualisierung seriös oder ein Angriff?

Ich würde es als seriös betrachten.

Das Verfalls-Datum finde ich merkwürdig.

02 April 2024 klingt für mich normal.

[QT]

Wenn das "bekannte Zertifikat" am 10.4.2023 abläuft, muss der Anbieter halt auch vorher aktiv werden und ein neues Zertifikat in Nutzung bringen...

[cosinus]

Ich würde es als seriös betrachten.

Gibt es denn ne Möglichkeit, dass Zertifikat auf einfache Art und Weise zu prüfen bzw einzusehen?
Hab hier auf die Schnelle nur rel. umständliche Befehle mit openssl gefunden

[bluestar]

Ich würde es als seriös betrachten.

Gibt es denn ne Möglichkeit, dass Zertifikat auf einfache Art und Weise zu prüfen bzw einzusehen?

https://crt.sh/?id=6481844597

[heisenberg]

Für einen schnellen Check gibt's verschiedene Webseiten, die SSL-Zertifikate prüfen. Schnellere oder sehr intensive(https://www.ssllabs.com/ssltest/).

Ich habe mir ein PHP-Script gebastelt, dass die openssl-Ausgabe parst und die Zertifikate validiert:

https://codeberg.org/megabert/script-pa ... _check.php

Sieht dann so aus:

Code: Alles auswählen

$ php ssl_check.php -connect mail.gmx.net:25 -starttls smtp

CN     : mail.gmx.net                            
Start  : Tue, 28 Mar 2023 10:50:34 +0200         
End    : Tue, 02 Apr 2024 01:59:59 +0200         
Issuer : Telekom Security ServerID OV Class 2 CA
Valid  : 0 (ok)

Alternate Names

        mail.gmx.net                            
        mail.gmx.de                             
        smtp.gmx.net                            
        smtp.gmx.de                             
        imap.gmx.net                            
        imap.gmx.de                             
        pop.gmx.net                             
        pop.gmx.de                              

Die Anzeige "Valid: 0 (ok)" ist die Validierung vom PHP-SSL-Parser und bedeutet, dass die Zertifikatskette vollständig ist. D. h. das Zertifikat ist durch lokale CA-Zertifikate validiert.

[cosinus]

Danke, crt.sh sieht brauchbar auch! Danke auch dir, heisenberg

[bluestar]

Fingerabdruck:
SHA1: 96:26:7D: ...
SHA256: 96:26:7D: ...

Fingerabdruck:
SHA1: BF:A5:40: ...
SHA256: BF:A5:40: ...

An den TE gerichteter Hinweis:
Ich möchte gerne noch anmerken, dass die Anonymisierung von Fingerabdrücken, ohne explizite Kenntlichmachung, hier durchaus zu Verwirrung führen kann und evtl. zu falschen Rückmeldungen führen kann.

Das alte Zertifikat hatte die Fingerabdrücke:
* SHA-256: B5:C0:58:01:F4:D1:89:0A:EB:1C:30:96:75:9A:8F:62:A6:78:54:B0:3A:2F:58:02:E5:96:48:71:5A:30:0E:95
* SHA-1: D7:62:DE:D4:F9:90:A6:AC:10:98:2D:1E:0E:7F:3B:CB:06:A7:A:4C8

[feldmaus]

Danke Euch,

@bluestar
Danke für den Hinweis, werde die Anonymisierung das nächste mal extra kennzeichnen.

Die Fingerabdrücke von meinem neuen Zertifikat stimmen aber nicht mit denen von Dir genannten überein. Bedeutet das, dass ich einem Angriff ausgesetzt bin?

[cosinus]

Wie wärs wenn du die fingerprints mal komplett posten würdest?

[bluestar]

Die Fingerabdrücke von meinem neuen Zertifikat stimmen aber nicht mit denen von Dir genannten überein.

Ich hab auch die vom alten Zertifikat fälschlicherweise gepostet.

[feldmaus]

Bekanntes Zertifikat:

• Status:
  Fingerabdruck:
  SHA1: 96:26:7D:A3:F4:D9:CF:47:10:E9:C7:75:D4:5D:E7:59:91:D7:98:D4
  SHA256: 96:26:7D:A3:F4:D9:CF:47:10:E9:C7:75:D4:5D:E7:59:91:D7:98:D4:62:F5:CD:62:79:96:40:36:2A:6A:27:4E

Neues Zertifikat:

• Status:
  Fingerabdruck:
  SHA1: BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61
  SHA256: BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61:62:F5:CD:62:79:96:40:36:2A:6A:27:4E

[bluestar]

Bekanntes Zertifikat:

• Status:
  Fingerabdruck:
  SHA1: 96:26:7D:A3:F4:D9:CF:47:10:E9:C7:75:D4:5D:E7:59:91:D7:98:D4
  SHA256: 96:26:7D:A3:F4:D9:CF:47:10:E9:C7:75:D4:5D:E7:59:91:D7:98:D4:62:F5:CD:62:79:96:40:36:2A:6A:27:4E

Neues Zertifikat:

• Status:
  Fingerabdruck:
  SHA1: BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61
  SHA256: BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61:62:F5:CD:62:79:96:40:36:2A:6A:27:4E

Es ist absolut unwahrscheinlich, dass der SHA256 Hash den SHA1 Hash enthält.

[feldmaus]

Danke für Eure Rückantwort.

Hier das Beweisfoto, dass ich mich nicht versehen habe.

https://imgur.com/a/cZbUkcj

[cosinus]

Ist das ein Bug in deinem Programm?

Hab mir mal mit openssl das Servercert geladen und in mailgmxnet.crt gespeichert. Dann die Fingerprints, siehe unten; SHA1 passt noch, aber für SHA256?!

SHA1:

Code: Alles auswählen

$ openssl x509 -noout -fingerprint -sha1 -in mailgmxnet.crt 
sha1 Fingerprint=BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61

SHA256:

Code: Alles auswählen

$ openssl x509 -noout -fingerprint -sha256 -in mailgmxnet.crt 
sha256 Fingerprint=39:42:05:48:0A:63:82:D4:88:2A:CE:1C:9E:B4:BB:36:C8:99:2E:E3:66:0E:7D:D1:BF:61:1B:1F:43:E4:EE:35

[bluestar]

Ist das ein Bug in deinem Programm?

Hab mir mal mit openssl das Servercert geladen und in mailgmxnet.crt gespeichert. Dann die Fingerprints, siehe unten; SHA1 passt noch, aber für SHA256?!

SHA1:

Code: Alles auswählen

$ openssl x509 -noout -fingerprint -sha1 -in mailgmxnet.crt 
sha1 Fingerprint=BF:A5:40:61:C3:13:A2:95:88:73:C9:9A:DE:A0:C8:85:7B:5E:C3:61

SHA256:

Code: Alles auswählen

$ openssl x509 -noout -fingerprint -sha256 -in mailgmxnet.crt 
sha256 Fingerprint=39:42:05:48:0A:63:82:D4:88:2A:CE:1C:9E:B4:BB:36:C8:99:2E:E3:66:0E:7D:D1:BF:61:1B:1F:43:E4:EE:35

Spannend daran ist, das crt.sh bei beiden Fingerprints kein Zertifikat findet ...

[cosinus]

Spannend daran ist, das crt.sh bei beiden Fingerprints kein Zertifikat findet ...

Ist mir auch schon aufgefallen. Kann es sein, dass GMX für den Mailserver über Port 465 ein anderes Cert nimmt als für seine HTTPS-Zugänge?

Bei crt.sh bekomm ich jetzt nur noch 502 Bad Gateway

[bluestar]

Ist mir auch schon aufgefallen. Kann es sein, dass GMX für den Mailserver über Port 465 ein anderes Cert nimmt als für seine HTTPS-Zugänge?

Dennoch sollte das Zertifikat anhand des SHA256 bzw. SHA1 Fingerprints bei der Suche dort doch zu finden sein, oder?
Ich habe das eben mal mit einem Server-Zertifikat getestet, wenn ich dort den Fingerprint ermittele und danach bei crt.sh suche, dann bekomme ich das passende Zertifikat angezeigt.

[cosinus]

Wie kommen die Certs denn bei crt.sh rein? Fragt der Server die alle ab oder wie läuft das?

[bluestar]

Wie kommen die Certs denn bei crt.sh rein? Fragt der Server die alle ab oder wie läuft das?

Die Zertifikate werden von den CAs bei der Ausstellung dort eingetragen. Details siehe hier: https://de.wikipedia.org/wiki/Certificate_Transparency

Da das Zertifikat als gültig angesehen wird, wundere ich mich, dass ich zu dem Fingerprint (SHA1 oder SHA256) im Transparency Log nichts finde.

Die Frage ist also, wieso gibt es hier ein offensichtlich gültiges Zertifikat mit nicht zu validierendem Fingerprint.

[bluestar]

Ich habe die Schritte einmal mit meinem Mailserver durchprobiert - immer mit SHA256 Fingerprint:
1) Fingerprint des aktiven Zertifikates (Datei ermittelt)
2) crt.sh Fingerprint gesucht, Zertifikat wird gefunden und entspricht dem gesuchten.

Danach
a) openssl s_client -connect xxx:xxx und das Zertifikat abgespeichert
b) Fingerprint der Datei ermittelt
c) der Fingerprint passt zu dem (1).

So langsam gehen mir die Ideen was Gmx angeht, aus.

[bluestar]

Und der nächste Test:

https://de.ssl-tools.net/mailservers/mail.gmx.net

Dort wird auch der Fingerprint ausgegeben, der sich nicht über crt.sh validieren lässt.

[cosinus]

Die Frage ist also, wieso gibt es hier ein offensichtlich gültiges Zertifikat mit nicht zu validierendem Fingerprint.

Ganz offensichtlich nutzt GMX für seine Mailserver mit den Protokollen SMTPS/POP3S ein anderes Cert als für seine HTTPS-Seite. Hab das auch mal bei pop.gmx.net:995 gemacht siehe unten. Aber warum kennt crt.sh das nicht?!

Gibt es noch andere Seiten wie crt.sh?

Code: Alles auswählen

$ openssl s_client -connect pop.gmx.net:995 | openssl x509 -fingerprint -sha256

depth=2 C = DE, O = T-Systems Enterprise Services GmbH, OU = T-Systems Trust Center, CN = T-TeleSec GlobalRoot Class 2
verify return:1
depth=1 C = DE, O = Deutsche Telekom Security GmbH, CN = Telekom Security ServerID OV Class 2 CA
verify return:1
depth=0 C = DE, O = 1&1 Mail & Media GmbH, ST = Rheinland-Pfalz, L = Montabaur, CN = mail.gmx.net
verify return:1


sha256 Fingerprint=39:42:05:48:0A:63:82:D4:88:2A:CE:1C:9E:B4:BB:36:C8:99:2E:E3:66:0E:7D:D1:BF:61:1B:1F:43:E4:EE:35


-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

[bluestar]

Ich bin den beiden Zertifikaten von crt.sh und von openssl mal auf den Grund gegangen:

gleich sind
* Seriennummer
* gültig ab
* gültig bis
* RSA Modulus
* RSA Exponent
* X590v3 KeyId
* X509v3 Subject Key Identifier

crt.sh

Code: Alles auswählen

    Signature Algorithm: sha256WithRSAEncryption
         87:f3:a4:b5:54:43:1d:e4:1e:1a:f1:8b:3b:2f:fc:0e:1f:98:
         f3:48:62:a0:b6:2c:02:55:7d:92:74:09:2e:53:e3:f7:ba:35:
         9b:49:4b:db:ae:9a:c2:08:8d:87:f6:d9:2d:4c:e2:4c:ff:32:
         d0:98:b3:51:86:e5:fe:68:8a:a5:18:ac:bb:7d:56:47:7f:e2:
         07:4a:f7:aa:fe:a9:8b:67:de:eb:82:e5:17:4b:2f:0c:e0:a0:
         64:68:7b:80:45:2f:ed:e9:db:fa:c0:aa:7e:48:c8:94:d2:05:
         a7:92:a2:d7:d1:bc:23:5f:12:9f:bd:a4:03:41:fb:b8:80:1e:
         57:6b:cd:61:20:15:c6:f9:06:5e:cb:a5:41:40:78:f6:86:a5:
         1b:8b:dc:86:db:f2:90:74:cb:85:74:a9:f9:bf:19:07:22:cd:
         0f:94:5b:fb:e1:3e:b4:a0:bb:c0:e1:7d:1d:4b:1d:b0:c0:f8:
         39:05:f6:6e:e8:6e:30:0d:3e:50:21:98:19:62:b0:87:60:eb:
         63:5c:87:52:b7:34:1c:b8:da:36:d6:52:20:9a:80:ba:9f:ae:
         6c:58:48:db:2f:34:2c:24:6a:88:32:79:64:7e:da:51:fa:f2:
         50:f2:5c:f1:8a:91:26:7c:e6:4a:f7:b6:c3:03:31:dd:4e:00:
         c4:8f:f0:33:eb:78:d9:f6:14:a7:ef:22:b1:f0:3f:0b:b2:89:
         79:37:12:3a:7b:94:11:e5:5a:6d:3b:b9:b4:89:41:eb:e0:c6:
         90:60:c9:69:d1:e2:b1:62:31:2d:3e:56:82:37:de:c8:5b:26:
         01:e6:2f:f2:0f:1a:5f:8a:38:9c:33:1a:09:6d:fa:48:04:d5:
         56:da:2f:ea:dc:f6:5d:2c:2e:50:d1:47:8f:84:5d:3a:b6:c6:
         50:6c:39:ed:e3:e8:47:72:0f:8b:7a:f9:ff:b8:53:15:cb:a3:
         0b:86:ef:b7:12:63:28:22:42:ca:3c:9d:d2:c6:82:51:48:9f:
         f9:da:af:9d:7f:26
 

und das präsentierte Zertifikat:

Code: Alles auswählen

    Signature Algorithm: sha256WithRSAEncryption
         85:10:79:86:88:5c:9e:53:8d:13:7d:80:6b:30:c9:cf:f1:36:
         f5:bb:21:8f:59:fe:da:fe:be:31:c9:1f:c0:ca:60:03:36:21:
         05:aa:3a:7c:8d:37:88:8c:4c:68:4a:ab:67:a0:b2:4d:f0:7d:
         e3:f7:2c:34:2d:c8:4b:a5:01:16:e7:98:aa:a7:7f:d5:f0:72:
         67:fb:52:41:07:98:05:12:7f:bf:47:43:62:2b:5c:e5:bc:29:
         24:71:37:dd:1c:34:12:da:a9:83:23:a5:4b:61:1b:d4:28:a1:
         27:1e:7e:cf:2d:60:e0:fe:9c:dd:0a:3b:52:da:44:df:56:f2:
         55:e6:d6:df:3d:cf:9b:0a:60:bb:08:1f:0a:bb:8e:fb:07:f3:
         11:eb:8b:d7:9f:67:65:b1:b5:05:c2:c9:40:f9:e2:5a:7c:21:
         54:11:08:d6:44:f9:64:5e:f1:4a:39:ea:bb:e6:d9:17:94:03:
         e2:a8:01:f2:19:a7:65:bf:4b:cc:46:ad:43:22:13:21:d5:0f:
         d8:6e:26:cf:9f:fb:33:a0:c2:b4:7d:96:fc:4c:69:80:de:04:
         a2:c3:4f:2d:3e:37:6d:04:41:70:d2:5e:99:e0:e0:37:33:00:
         d8:c0:ac:4f:03:12:84:e2:e4:3a:ec:8f:8f:2b:34:98:8f:c8:
         cb:36:b1:1b:85:3e:a2:cd:1e:fa:59:27:1a:77:00:03:61:68:
         bb:a7:a6:f4:ba:8d:c3:94:76:7a:f9:c3:da:a8:f6:80:aa:56:
         0a:91:b2:2f:12:3b:8d:a5:b4:d3:86:27:e5:a4:b9:c9:80:03:
         68:12:50:b9:84:e2:3d:94:0c:12:06:a9:ea:6c:f8:ef:d0:8a:
         c0:7e:49:e4:13:19:6d:9c:b3:da:35:e1:7a:4f:97:03:36:6c:
         7b:cc:de:03:07:41:d7:3e:0c:bd:9b:14:87:ec:45:c4:91:a2:
         1d:86:bc:7c:b0:48:06:f6:42:9d:f8:0c:a7:fa:8d:98:81:b2:
         e3:da:c2:89:09:0f

Was mir noch auffällt mein openssl dekodiert den Teil 1.3.6.1.4.1.11129.2.4.2 des Zertifikates nicht, der für x.509 extension for certificate transparency SCTs steht, bei crt.sh fehlen die Infos jedoch komplett.

Wer kann uns hier Licht ins Zertifikate-Dunkel bringen?? Ich würde das gerne verstehen

[cosinus]

Ich hab mit dem certbot auch mal ein wenig herumgespielt. Sowohl mit certbot an der Kosole als auch über die Let's Encrypt Option in der Sophos UTM. Nach kurzer Zeit waren diese austellten Certs auch bei crt.sh drin, aber mit anderen fingerprints?!

Was ist denn da los bei crt.sh?