SSL Probleme unter Windows 8.1

    • Offizieller Beitrag

    Dies ist eine vorgefertigte Schablone, die bei der Formulierung von Problemen unterstützen soll. Bitte die folgenden Angaben möglichst vollständig ausfüllen.


    - Welche Version von pd-admin wird eingesetzt? 4.23
    - Welche Version der Serverumgebung wird eingesetzt? 3 0.252
    - Welche Fehlermeldung erhalten Sie?

    Zitat

    Bei Posteingangsserver anmelden (POP3): Ihr Server unterstützt nicht den angegebene Verschlüsselungstyp. Versuchen Sie, die Verschlüsselungsmethode zu ändern. Wenden Sie sich an Ihren Serveradministrator oder Internetdienstanbieter für weitere Unterstützung.


    Zitat

    Testnachricht senden: Ihr Server unterstützt nicht den angegebene Verschlüsselungstyp. Versuchen Sie, die Verschlüsselungsmethode zu ändern. Wenden Sie sich an Ihren Serveradministrator oder Internetdienstanbieter für weitere Unterstützung.


    - Wie sind die problematischen Dienste konfiguriert? SSL wurde per ci-ssl-install.sh konfiguriert.
    - Welche Logfile-Einträge (zB. Webserver- oder Mail-Logfile) gibt es? keine


    Seit dem letzten Microsoft Patchday beklagen sich immer mehr User, welche Windows 8.1 verwenden, das bei Windows Live Mail und Microsoft Outlook der Mail Versandt sowie Empfang nicht mehr funktioniert.


    Muss evtl. die Einstellung von TLS_CIPHER_LIST geändert werden?


    Die aktuellen Einstellungen sehen wie folgt aus:


    mfg
    Twilo

    • Offizieller Beitrag

    Hallo,


    https://support.microsoft.com/de-de/kb/3061518
    https://technet.microsoft.com/library/security/MS15-055


    das Problem ist in einer älteren Version von ci-ssl-install.sh die Umgebungsvariable "DH_BITS=2048" nicht gesetzt wurde und dadurch der Key regelmäßig mit 768 Bit statt 2048 Bit erzeugt wird. Nachdem ich die Umgebungsvariable hinzugefügt hatte, tritt das Problem nicht mehr auf.


    Warum wurden wir über so eine Skriptänderung nicht informiert?



    Per cron wird auch folgende Datei aufgerufen
    /var/qmail/bin/update_tmprsadh


    Dort werden Keys mit 512 und 1024 Bit erzeugt, könnte das auch ein Problem sein/werden?




    mfg
    Twilo

  • Danke für die tolle Recherche. Ich bin nicht drauf gekommen.
    Bei uns häufen sich diese Vorfälle in letzter Zeit auch.


    Ich habe auch irgend ein ci-File das ich mal in 2014 gezogen habe immer benutzt.
    Wo muss ich die Umgebungsvariable setzen? einfach mit export DH_BITS=2048 und dann nichts weiter unternehmen? Oder sollte man die Scripte nochmal ausführen?

    • Offizieller Beitrag

    Hallo,


    meine Crontabeinträge sehen aktuell wie folgt aus:

    Code
    0    6   * * * DH_BITS=2048 nice -n 19 /usr/local/pd-admin2/share/mkdhparams >/dev/null
    47   5   * * * nice -n 19 /var/qmail/bin/update_tmprsadh >/dev/null


    Die Datei .cron_tmprsadh.pl wurde gestern schon wieder geändert. Jetzt werden folgende Croneinträge erzeugt:

    Code
    M1    H1  * * * nice -n 19 /var/qmail/bin/update_tmprsadh 1>/dev/null 2>&1
    M2    H2  * * * nice -n 19 /opt/pdadmin/bin/ci_dhe_params.sh 1>/dev/null 2>&1


    Die Datei /opt/pdadmin/bin/ci_dhe_params.sh gibt es jedoch bei mir nicht ...


    mfg
    Twilo

  • Ja, das wäre schön, ein kleines Update-Howto zu bekommen, damit man zumindest manuell alte Scripte auf aktuellen Stand bringen kann.


    Eine kurz Info, zumindest hier im Forum, wenn an dem Script was geändert wurde wäre wünschenswert.


    [Ergänzung]
    Ich nutze eine ci-ssl-install.sh vom 13.02.2014.
    Bei dieser ist nur eine Zeile im Crontab enthalten:


    nice -n 19 /var/qmail/bin/update_tmprsadh 1>/dev/null 2>&1


    Nun stellt sich für mich die Frage ob ich die erste Zeile von Twilo auch einfach einfügen kann? Denn das dhperm.pem ist bei mir auch genau vom gleichen Datum wie das ci-ssl-install.sh, sofern es denn überhaupt vorhanden ist. Auf machen Maschinen fehlt es auch.

  • Folgende Cronjobs sollten eingebunden werden:


    35 0 * * * nice -n 19 /var/qmail/bin/update_tmprsadh 1>/dev/null 2>&1
    52 2 * * * nice -n 19 /opt/pdadmin/bin/ci_dhe_params.sh > /dev/null 2>&1


    Code
    > cat /opt/pdadmin/bin/ci_dhe_params.sh
    #!/bin/bash
    DH_BITS=2048 /usr/local/pd-admin2/share/mkdhparams
    • Offizieller Beitrag

    Hallo,


    Zitat

    Original von Daniel Bradler
    Folgende Cronjobs sollten eingebunden werden:


    35 0 * * * nice -n 19 /var/qmail/bin/update_tmprsadh 1>/dev/null 2>&1
    52 2 * * * nice -n 19 /opt/pdadmin/bin/ci_dhe_params.sh > /dev/null 2>&1


    Code
    > cat /opt/pdadmin/bin/ci_dhe_params.sh
    #!/bin/bash
    DH_BITS=2048 /usr/local/pd-admin2/share/mkdhparams


    hat es ein Grund, warum sie den Aufruf von mkdhparams in ein eigenes Skript packen?


    So geht es doch auch?!

    Code
    52   2   * * * DH_BITS=2048 nice -n 19 /usr/local/pd-admin2/share/mkdhparams >/dev/null 2>&1


    Ich finde es auch eher schlecht, dass sie bei fast allen Cronjobs die Fehlerausgabe nach /dev/null umleiten ...


    mfg
    Twilo