Firefox Verbindungsprobleme

UPDATE / INFO:  Dieser Artikel trifft auf die graz4u eMail Server nicht mehr zu. Es sind keine Anpassungen notwendig!

 

Es gibt ein Problem mit SSL/TLS nach dem Update auf Firefox 74 und höher.

Das liegt an einigen Einstellungen die nun anders gesetzt sind. Diese Einstellungen sind „normal“ nicht zu sehen. Erst im „Erweiterten Konfigurations-Modus“ sind diese Details sichtbar, und können auch verändert werden.

Aber Vorsicht!
Wenn man in dem Modus etwas falsch macht, kann es zu ernsthaften Problemen kommen!
Wir übernehmen absolut keine Verantwortung bei falscher Handhabung.
Sie sind für alle Änderungen selbst verantwortlich.
Das ist lediglich eine Hilfestellung wie Sie vorgehen können.
Mit dieser Abfolge stellen Sie wieder das vorige Sicherheitsniveau her, dadurch ist auch wieder TLS1.0 erlaubt.
Fragen Sie ev bei Ihrem Administrator nach ob das in Ordnung ist.

 

Technischer Hintergrund:
Wenn ein Server nur TLS 1.0 unterstützt können die neuen Browser Firefox, Chrome & Edge; sowie auch Thunderbird bei eMail keine Verbindung mehr aufbauen. Das liegt daran, dass das Security-Setting angehoben wurde und TLS 1.0 nicht mehr unterstützt wird.
Zumindest im original Auslieferungszustand der jeweilgen Software.
Auf eigene Gefahr hin kann das aber wieder heruntergesetzt werden.
Weil:
TLS 1.0 gilt inzwischen als „nicht mehr sicher“. Damit ist die Stärke und Qualität der Verschlüsselung gemeint. Verschlüsselt ist die Verbindung aber dennoch. Kann aber von bösartigen Personen leichter geknackt werden.

 

Hier die Abfolge die gemacht werden kann bei Firefox:

  1. Neues Tab öffnen und in der Adresszeile eingeben:  about:config
    Es wird nun eine Warnung angezeigt. Wenn Sie sich sicher sind und sich das zutrauen, klicken Sie auf „Risiko akzeptieren und fortfahren“
    ACHTUNG: wir übernehmen KEINE Haftung! Sie sind selbst verantwortlich für die Änderungen!
    Firefox - Erweiterte Konfiguration - WARNUNG
  2. Geben Sie in der Suchzeile ein:  security.tls.version
    Sie sollten ca so eine Auflistung erhalten
  3. Doppelklick auf die Zeile mit dem Key:  security.tls.version.min
    Eingabe im Feld vom Wert:  1
    Bestätigen mit „OK“  (= der Haken rechts)
  4. Doppelklick auf die Zeile mit dem Key: security.tls.version.enable-deprecated
    Es springt der Wert dann um auf: true
  5. Fertig!

 

Es sollte sich nun Firefox wieder mit dem Web-Server verbinden können.

Verwandter Artikel: Thunderbird Verbindungsprobleme

Thunderbird Verbindungsprobleme

UPDATE / INFO:  Dieser Artikel trifft auf die graz4u eMail Server nicht mehr zu. Es sind keine Anpassungen notwendig!

 

Es gibt ein Problem mit SSL/TLS nach dem Update auf Thunderbird 78 und höher.

Das liegt an einigen Einstellungen die nun anders gesetzt sind. Diese Einstellungen sind „normal“ nicht zu sehen. Erst im „Erweiterten Konfigurations-Modus“ sind diese Details sichtbar, und können auch verändert werden.

Aber Vorsicht!
Wenn man in dem Modus etwas falsch macht, kann es zu ernsthaften Problemen kommen!
Wir übernehmen absolut keine Verantwortung bei falscher Handhabung.
Sie sind für alle Änderungen selbst verantwortlich.
Das ist lediglich eine Hilfestellung wie Sie vorgehen können.
Mit dieser Abfolge stellen Sie wieder das vorige Sicherheitsniveau her, dadurch ist auch wieder TLS1.0 erlaubt.
Fragen Sie ev bei Ihrem Administrator nach ob das in Ordnung ist.

 

Technischer Hintergrund:
Wenn ein Server nur TLS 1.0 unterstützt können die neuen Browser Firefox, Chrome & Edge; sowie auch Thunderbird bei eMail keine Verbindung mehr aufbauen. Das liegt daran, dass das Security-Setting angehoben wurde und TLS 1.0 nicht mehr unterstützt wird.
Zumindest im original Auslieferungszustand der jeweilgen Software.
Auf eigene Gefahr hin kann das aber wieder heruntergesetzt werden.
Weil:
TLS 1.0 gilt inzwischen als „nicht mehr sicher“. Damit ist die Stärke und Qualität der Verschlüsselung gemeint. Verschlüsselt ist die Verbindung aber dennoch. Kann aber von bösartigen Personen leichter geknackt werden.

Hier die Abfolge die gemacht werden kann:

  1. Einstellungen öffnen unter: Extras | Einstellungen.
    Dann unter „Allgemein“ ganz runter scrollen und „Konfiguration bearbeiten“ klicken
  2. Es wird nun eine Warnung angezeigt. Wenn Sie sich sicher sind und sich das zutrauen, klicken Sie auf „Ich bin mir der Gefahren bewusst!“
    ACHTUNG: wir übernehmen KEINE Haftung! Sie sind selbst verantwortlich für die Änderungen!
    Thunderbird, erweiterte Einstellungen. WARNUNG
  3. Geben Sie in der Suchzeile ein:  security.tls.version
    Sie sollten ca so eine Auflistung erhalten
    Thunderbird, erweiterte Einstellungen. SUCHE TLS
  4. Doppelklick auf die Zeile mit dem Key:  security.tls.version.min
    Eingabe im Dialog vom Wert:  1
    Bestätigen mit „OK“
    Thunderbird, erweiterte Einstellungen. TLS Version Min = 1
  5. Doppelklick auf die Zeile mit dem Key: security.tls.version.enable-deprecated
    Es springt der Wert dann um auf: true
  6. Fertig!

 

Es sollte sich nun Thunderbird wieder mit dem Mail-Server verbinden können.

Verwandter Artikel: Firefox Verbindungsprobleme

FTP, FTPs, FTP/SSL, FTP/TLS, SFTP, scp

… viele Abkürzungen, viele Bedeutungen, aber was ist was? Oder ist das eh alles immer das gleiche???

 

FTP)

FTP: einfaches, altes „file transfer protocol“; lauft normalerweise auf TCP Port 21. (in ACTIVE und PASSIVE Modus, wobei der PASV eher Standard ist)

FTP/SSL oder FTP/TLS: FTP mit TLS/SSL Verschlüsselung, muss in PASSIVE Mode verwendet werden. ACHTUNG: Mit ACTIVE Mode ist keine Verschlüsselung möglich! (Hintergrund: Es macht bei ACTIVE der Server die Verbindung zum Client hin zurück auf. Das ja quasi „verkehrt“, es müsste demnach der Client quasi ein SSL-Zert haben und kurzzeitig als Server arbeiten. Das ist eben nicht wirklich möglich)
* Implizit: dabei wird sofort eine verschlüsselte Verbindung aufgebaut. (Es kann dabei ev. auch ein anderer Port verwendet werden, TCP Port 990 oder 898)
* Explizit: dabei wird zuerst eine reguläre, unverschlüsselte Verbindung aufgebaut und dann erst umgeschaltet auf weitere verschlüsslete Verbindungen.

FTPS: andere Bezeichnung für FTP/SSL.

 

SFTP)

SFTP: SSH File Transfer Protocol,  es kann zBsp ssh nur mit einem reinen file-transfer konfiguriert werden wo eben kein Shell Login möglichist. Läuft normalerweise unter dem ssh Port, TCP Port 22.

SCP: eine einfache Implementierung über die via SSH Dateien transferiert werden können. SFTP kann dabei wesentlich mehr als scp.

 

Secure FTP: unklar, das kann beides sein! SFTP oder FTPS.

 

Weitere Infos gibts bei Wikipedia:

* SSH File Transfer Protocol
* FTPS

SSL Zertifikate stärken das Vertrauen im Web

Im Web spielen SSL Zertifikate eine immer größere Rolle!
Wir kennen Zertifikate für sichere https-Verbindungen von großen Shops wie amazon, will-haben und Co. Wenn es nach den großen Software und Browser-Herstellern geht soll das nun für alle Teilnehmer und alle ernstgemeinten WebSites gelten. Zu Recht wie wir meinen.

Sie können mit einem Zertifikat für Ihre WebSite nicht nur einen guten Eindruck bei Kunden hinterlassen und so Vertrauen aufbauen. Natürlich zeigen Sie so das Ihnen der Firmen Auftritt im Internet wichtig ist und sie Sicherheit und Vertraulichkeit ernst nehmen. Bei aktuellen Browsern werden Zertifikate nun auch immer verpflichtender, in einigen Monaten werden alte, unsichere WebSites bei den Suchergebnissen wesentlich schlechter bewertet und somit erst unter ferner liefen angezeigt, wenn überhaupt noch.

Wir haben alle namhaften SSL Hersteller im Portfolio, wir finden ganz bestimmt ein passendes Zertifikat das optimal für Ihre Bedürfnisse zugeschnitten ist.

Haben wir Ihr Interesse geweckt? Ja? Dann schicken Sie uns einfach eine Anfrage unter certs@graz4u.at

 

eMail Passwort Aktualisierung

Sicherheitsrichtlinien Update!

Um eine stetige Verbesserung der Sicherheit unserer Dienste gewährleisten zu können, ändern wir unsere Zugangsarten zu unseren eMail Servern!
Es werden ab September 2017 nur noch verschlüsselte Verbindungen möglich sein!

Bitte kontrollieren sie ihre Konfiguation ob Sie aktuellen Stand sind.
Die sicherste und von uns empfohlene Konfiguration für eMail Konten ist wie folgt:

  • Posteingangs- und Postausgangsserver mit SSL oder TLS verschlüsselt
  • Beim Senden auch Anmeldung mit Benutzername & Passwort (gleich wie beim Lesen)
  • Name des Posteingangsservers:  mail.graz4u.at
  • Name des Postausgangsservers:  smtp.graz4u.at

Wenn Sie diese Einstellungen auf allen Ihren Geräten verwenden sollten Sie von der Umstellung nichts bemerken.

SSL-Zertifikate für https werden verpflichtend

Aktuelle Versionen von Google Chrome versuchen nun verstärkt nur noch WebSiten mit https, also WebSites die ein gekauftes SSL-Zertifikat haben, bei der Suche zu brücksichtigen.

Da wir Reseller aller gängigen SSL-Zertifikats Hersteller sind, freuen wir uns für alle Kunden ein passendes Zertifikat anbieten zu können!
Egal ob für Multi-Domain Sites, Single-Domain, Wildcard-Domain jeweils mit und ohne Extended-Validation. Es ist sicher ein passender Typ für Sie dabei.

Sicken Sie einfach eine eMail an support@graz4u.at mit den Anforderungen die Sie brauchen – wir machen Ihnen gerne ein Anbot.

POP3/IMAP4 Einstellungen

Apple Mail automatische Erkennung abschalten

Apple Mail hat ein Feature das bei manchen Versionen ein Problem erzeugt.

Unser eMail Server unterstützt DIGEST-MD5 und CRAM-MD5 Logins, aber bei manchen Clients gibt es dabei leider ein Problem. Die erzeugte MD5-Response ist falsch. In diesem Fall hilft nur die automatische Erkennung der höherwertigen Login-Mechanismen zu unterdrücken.

ACHTUNG: Es sollte immer eine Verbindugsart mit SSL oder TLS Verschlüsselung gewählt werden (SSL verwendet dabei immer eigene Ports, TLS verwendet die Standard-Ports)

POP3/IMAP4 Einstellungen

IMAP4/POP3: Der Haken bei „Accounteinstellungen automatisch erkennen und übernehmen“ sollte bei fehlerhaften Apple-Mail Versionen entfernt werden.

 

SMTP Einstellungen

SMTP: Der Haken bei „Accounteinstellungen automatisch erkennen und übernehmen“ sollte bei fehlerhaften Apple-Mail Versionen entfernt werden.

 

Danke an Rick für die Screenshots!

iphone ssl change info

Neues SSL Zertifikat

Wir haben gerade auf allen unseren Servern ein neues SSL-Zertifikat installiert, Gültigkeit bis 31.Dez 2018 bzw 1.1.2019 (abhängig von der Zeitzone des Gerätes)

Manche Geräte (speziell Apple) haben mit dem Wechsel des Zertifikates „Probleme“ und zeigen danach eine Warnung an.
Das soll den Benutzer auf den „Wechsel“ aufmerksam machen.

Es muss daher einmalig das neue Zertifikat bestätigt werden.
Dazu die Meldung einfach mit „OK“ / „Speichern“ / „Merken“ / „Akzeptieren“ oder was auch immer sinngemäss passt bestätigen.

 

Bei einem iPhone sieht diese Meldung ca so aus:

iphone ssl change info

 

Diese Meldung einfach mit „Akzeptieren“ (rechts oben) bestätigen.

Selbstsignierte und eigene CA & Zertifikate

Das hier soll eine kleine & unvollständige Erläuterung für den Umgang und Import von eigenen CAs und somit Zertifikaten in diversen Programmen sein.

Import für Produkte von Microsoft

Um in Outlook, Outlook Express, den Microsoft Internet Explorer (MS-IE) oder ein beliebiges anders Microsoft Produkt einen neuen SSL-Schlüssel zu importieren, öffnen Sie diese Seite bitte mit dem MS-InternetExplorer und klicken Sie weiter unten auf den Root-Zertifikat-Link.  Sie brauchen diesen neuen Schlüssel nur mit dem MS-InternetExplorer normal laden – der Importvorgang wird dabei automatisch gestartet. Danach ist das Zertifikat für alle Microsoft Produkte ohne weitere Tätigkeit verfügbar, also auch im Outlook und so weiter.
Eine genaue Anleitung gibt es natürlich auch.

Import für Produkte der Mozilla Foundation
(Firefox, Netscape, Thunderbird & SeaMonkey)

Öffnen Sie das Programm in dem Sie den Import machen möchten, also zB: Firefox, und klicken Sie auf den Link unten. Der Import startet dann automatisch.
Eine Anleitung für Firefox3 gibt es hier.
Eine Anleitung für Konquerer 4.1 gibt es hier.
Eine Anleitung für SeaMonkey gibt es hier. 

Import für das iPhone 3G

Öffnen Sie im iPhone eigenen Browser einfach den Link zu unserem Root-Zertifikat bzw klicken Sie auf den Link unten. Der Import startet dann automatisch.
Eine Anleitung für das iPhone gibt es hier.

 


 

Download unseres alten ROOT-Zertifikates SSL Ok

Certificate purposes:

SSL client : Yes
SSL client CA : Yes
SSL server : Yes
SSL server CA : Yes
Netscape SSL server : Yes
Netscape SSL server CA : Yes
S/MIME signing : Yes
S/MIME signing CA : Yes
S/MIME encryption : Yes
S/MIME encryption CA : Yes
CRL signing : Yes
CRL signing CA : Yes
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : Yes
MD5 Fingerprint = 31:EA:97:1D:79:D4:40:0B:EF:E1:ED:B9:D9:94:46:6F

Citrix Receiver: self-signed SSL vertrauen unter Linux

Will man unter Linux den Citrix Receiver mit einem selbst ausgestellten SSL Zertifikat verwenden scheitert man meistens mit einer dieser Fehlermeldungen:

  • Linux Client Error: The security certificate could not be validated. SSL provider code: 20, SSL error 86
  • Linux Client Error: The security certificate could not be validated.
  • The security certificate “<Zertifikats-Name>” could not be validated. SSL provider code: 20, SSL error 86

Das liegt daran, dass der Receiver das Root-CA nicht in seinem Speicher hat.

Um nun dieses Zertifikat hinzuzufügen, oder anders gesagt ihm zu vertrauen, muss es einfach mit einem Browser heruntergeladen werden und dann in den ca-store kopiert werden. Dazu geht man vor wie folgt:

  • die entsprechende SSL ctx Seite aufrufen, zBsp: https://ctx.meine-firma.at/
  • der Browser zeit nun dieses Zertifikat als nicht vertrauenswürdig in der Adresszeile an
  • Klicken Sie auf das Schloss-Symbol im Dialog dann auf „Mehr Informationen“
  • Es sollte sich je nach Browser nun der SSL Informations Dialog öffnen, wenn nicht gibt es einen Button wie „Zertifikat anzeigen“ oder ähnliches
  • Im SSL Zertifikatsdialog wählen sie den zweiten Reiter „Details“, dort werden alle aktiven Zertifikate für diese Verbindung angezeigt
  • Wählen Sie das oberste Zertifikat aus, das sollte die CA sein, das brauchen wir. Das zweite ist das Zertifikat selbst, das ist nicht wichtig.
  • Klicken Sie nun bei der CA auf „Exportieren“
  • Speichern sie es lokal ab. Extention sollte sein .pem
  • Wenn Sie mehrere sehen und sich nicht sicher sind, können Sie auch einfach alle exporieren.
  • kopieren Sie als Root die Zertifikate in den ICA-Keystore.
    Normalerweise ist der unter: /opt/Citrix/ICAClient/keystore/cacerts/     (Wobei /opt/Citrix/ICAClient/  die ICARoot ist)
  • Nun sollte der Citrix Receiver sich nicht mehr beklagen und die Session ganz normal starten.