Frage zu "vertrauenswürdigen Verbindungen"

Corow

Here to stay

Registered: Sep 2005
Location: Austria
Posts: 1214

03.04.2014 - 08:56

Morgen Alle zusammen.
Bin zum ersten Mal in diesem Bereich des Forums doch ich denke mir ich müsste hier richtig sein.
Kurze Info zur Vorgeschichte. Seit ich in meiner aktuellen Firma arbeite hat bei uns jede "Aussendienststelle" einen GMX Account worüber der ganze Mailverkehr abgewickelt wird. Zum Abrufen wurde bisher Thunderbird verwendet. Klingt irgendwie zusammengeschustert, war es auch. Hat aber gut funktioniert.
Seit diesem Jahr gibt es eine betriebsinterne Mailadresse der Zugang geht über ne "Outlook Web App" jedesmal wenn ich die Seite aufrufe kommt eine Meldung dass es sich um keine vertrauenswürdige Verbindung handelt :rolleyes:

. Natürlich vertrau ich der Seite prinzipiell da es sich ja um die Zentrale handelt. Laut Aussage der zuständigen Person liegt es im interesse der Sicherheits des Unternehmens dass wir nen sicheren Weg benutzen Emails zu verschicken.

Was ich mich jetzt frag. Ist so ein Outlook Web App Zugang wirklich sicherer und warum zeigt mir Firefox an dass es sich um keine vertrauenswürdige Seite handelt.
Und zu guter Letzt. Auf die Frage ob ich mit Thunderbird per SMTP die Emails abrufen kann wurde mir erklärt dass es da Sicherheitsbedenken gäbe.
(Ich fand den Zugriff über Thunderbird bisher eigentlich sehr komfortabel)
Tja .. wie ihr euch denken könnt kenn ich mich da ned so aus und bin eher ratlos was ich davon halten soll.

Wär für jede Anmerkung oder Antwort dankbar.

daisho

Vereinsmitglied
SHODAN

Registered: Nov 2002
Location: 4C4
Posts: 19837

03.04.2014 - 09:03

Liegt vermutlich einfach daran dass kein SSL Zertifikat für die OWA eingerichtet wurde.

Luki

bierernste Islandkritik

Registered: Nov 2003
Location: gradec
Posts: 3011

03.04.2014 - 09:06

Die Meldung der "nicht vertrauenswuerdigen Verbindung" kommt nur, weil es ein 'privates' SSL-Zertifikat ist und von keiner Firma [wie zB Verisign] zertifiziert/signiert wurde [kostet Geld, bringt aber keine zusaetzliche Sicherheit].

IIRC kannst du das Zertifikat herunterladen und installieren, dann sollte die Meldung nicht mehr kommen.

Ueber SMTP kannst du nicht abrufen, sondern nur schicken. Zum Abrufen muesstest du IMAP verwenden. Ob das nun mit deinem Exchange-Server funktioniert muesstest du ausprobieren. Nachteil ist jedenfalls, dass afaik ein Kaldenersync zwischen Exchange-cal und Thunderbird nicht funktioniert, bzw. ein Workaround mit Plugin noetig ist.

rad1oactive

knows about the birb

Registered: Jul 2005
Location: Virgo Superclust..
Posts: 12730

03.04.2014 - 09:56

/ack, da fehlt einfach das Zertifikat.

bei uns in der Firma ists genau das gleiche

Cuero

Vereinsmitglied
Vereinsmitglied

Registered: Feb 2001
Location: Erde
Posts: 3556

03.04.2014 - 10:09

wenn ihr euch das mit einem "offiziellen" cert antun wollt, braucht ihr ziemlich sicher ein UC-Zertifikat, damit das dann auch übers handy, etc. problemlos geht...

gibts z.b. hier: http://ssl.comodo.com/unified-commu...ertificates.php

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15868

03.04.2014 - 10:16

oder einfach per reverse-proxy ein normales zertifikat nutzen

Luka

Vereinsmitglied
...

Registered: Nov 2006
Location: Mödling
Posts: 205

03.04.2014 - 10:26

Man sollte sich nicht angewöhnen, solche Fehlermeldungen wegzuklicken.

Selbstsignierte Zertifikate sind anfällig für Man-in-the-middle-Angriffe. Wenn das Zertifikat nicht überprüft wird, könnte man euch ein gefälschtes Zertifikat unterschieben und sich als euren Server ausgeben.

Entweder man lässt das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle unterschreiben oder überprüft den so genannten Fingerabdruck des Zertifikats selbst.

Wenn man Geld sparen will und der Dienst nur intern genutzt wird, kann man auch seine eigene Zertifizierungsstelle betreiben. Das Zertifikat der Zertifizierungsstelle muss auf jedem Client vorinstalliert werden.

Corow

Here to stay

Registered: Sep 2005
Location: Austria
Posts: 1214

03.04.2014 - 10:54

@luka: Normalerweise klick ich sowas auch nicht einfach weg bzw. such ich Rat bei dem/der Verantwortlichen, in meinem Fall hab ich das ja auch getan, aber ich war mir nicht sicher was der Grund für die Meldung sein könnte. Naja jetzt weiß ich es.
Danke erstmal für die Antworten genau sowas hab ich vermutet aber wie gesagt keine Ahnung davon.

deagle

Addicted

Registered: May 2004
Location: Wien
Posts: 381

03.04.2014 - 11:12

Falls es nur Zugriff via OWA und kein Activesync/IMAP/SMTP gibt, bietet sich als Workaround auch an, auf deinem Client DavMail mit Thunderbird und Lightning zu verwenden. Ich weiß allerdings nicht, ob das ein self-signed certificate schluckt - wenn ein Exchange-Server im Budget drinnen ist, sollte man imho auch nicht an den paar Euro für ein Zertifikat von einer CA sparen

Luki

bierernste Islandkritik

Registered: Nov 2003
Location: gradec
Posts: 3011

03.04.2014 - 11:16

Naja, kommt auf den Verwendungzweck an. Wenn ich Exchange 'im Haus' habe und nicht durch irgendwelche Public-Netze muss ist so ein Zertifikat einfach obsolet imho.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12627

03.04.2014 - 11:24

Zitat von deagle
Falls es nur Zugriff via OWA und kein Activesync/IMAP/SMTP gibt, bietet sich als Workaround auch an, auf deinem Client DavMail mit Thunderbird und Lightning zu verwenden. Ich weiß allerdings nicht, ob das ein self-signed certificate schluckt - wenn ein Exchange-Server im Budget drinnen ist, sollte man imho auch nicht an den paar Euro für ein Zertifikat von einer CA sparen

es sind ein paar 100€ pro jahr, also ned sooo wenig. kommt halt drauf an ob mans braucht.

deagle

Addicted

Registered: May 2004
Location: Wien
Posts: 381

03.04.2014 - 11:26

Das stimmt schon, aber bei mehreren Außenstellen (wie im 1. Post beschrieben) ohne VPN (das postuliere ich jetzt einmal) ist es imho schon angebracht.

Aber spätestens bei "gemeinsamer GMX Account" hats mir schon ein bisschen die Grausbirnen aufgezogen, spricht jetzt nicht unbedingt für die IT-Abteilung

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12627

03.04.2014 - 11:58

ich bin mir jetzt ned sicher weil ich das OWA graffel gsd nicht verwenden muss, aber afaik ist es doch so dass nach der installation des certs die abfrage nimmer kommt oder ? d.h. man muss nur beim ersten mal checken ob das self signed cert valide ist und ist dann genauso sicher wie mit einem von einer CA, oder überseh ich da was ?

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3789

03.04.2014 - 12:19

Zumindest ein einzelnes Cert kostet nicht soviel, bei StartSSL kann man z.B. sogar eines gratis erhalten. cacert.org gäbe es auch noch, da muss man allerdings auch händisch das CA-Zertifikat importieren (wie beim selbstsignierten).

wergor

connoisseur de mimi

Registered: Jul 2005
Location: vulkanland
Posts: 4149

03.04.2014 - 12:53

Zitat von luka
Man sollte sich nicht angewöhnen, solche Fehlermeldungen wegzuklicken.

Selbstsignierte Zertifikate sind anfällig für Man-in-the-middle-Angriffe. Wenn das Zertifikat nicht überprüft wird, könnte man euch ein gefälschtes Zertifikat unterschieben und sich als euren Server ausgeben.

wenn man die ausnahme/zertifikat einmal gespeichert hat und sich der fingerprint ändert, meldet sich eh die software?

Corow Here to stay Registered: Sep 2005 Location: Austria Posts: 1214	03.04.2014 - 08:56 Morgen Alle zusammen. Bin zum ersten Mal in diesem Bereich des Forums doch ich denke mir ich müsste hier richtig sein. Kurze Info zur Vorgeschichte. Seit ich in meiner aktuellen Firma arbeite hat bei uns jede "Aussendienststelle" einen GMX Account worüber der ganze Mailverkehr abgewickelt wird. Zum Abrufen wurde bisher Thunderbird verwendet. Klingt irgendwie zusammengeschustert, war es auch. Hat aber gut funktioniert. Seit diesem Jahr gibt es eine betriebsinterne Mailadresse der Zugang geht über ne "Outlook Web App" jedesmal wenn ich die Seite aufrufe kommt eine Meldung dass es sich um keine vertrauenswürdige Verbindung handelt . Natürlich vertrau ich der Seite prinzipiell da es sich ja um die Zentrale handelt. Laut Aussage der zuständigen Person liegt es im interesse der Sicherheits des Unternehmens dass wir nen sicheren Weg benutzen Emails zu verschicken. Was ich mich jetzt frag. Ist so ein Outlook Web App Zugang wirklich sicherer und warum zeigt mir Firefox an dass es sich um keine vertrauenswürdige Seite handelt. Und zu guter Letzt. Auf die Frage ob ich mit Thunderbird per SMTP die Emails abrufen kann wurde mir erklärt dass es da Sicherheitsbedenken gäbe. (Ich fand den Zugriff über Thunderbird bisher eigentlich sehr komfortabel) Tja .. wie ihr euch denken könnt kenn ich mich da ned so aus und bin eher ratlos was ich davon halten soll. Wär für jede Anmerkung oder Antwort dankbar.
daisho Vereinsmitglied SHODAN Registered: Nov 2002 Location: 4C4 Posts: 19837	03.04.2014 - 09:03 Liegt vermutlich einfach daran dass kein SSL Zertifikat für die OWA eingerichtet wurde.
__Luki__ bierernste Islandkritik Registered: Nov 2003 Location: gradec Posts: 3011	03.04.2014 - 09:06 Die Meldung der "nicht vertrauenswuerdigen Verbindung" kommt nur, weil es ein 'privates' SSL-Zertifikat ist und von keiner Firma [wie zB Verisign] zertifiziert/signiert wurde [kostet Geld, bringt aber keine zusaetzliche Sicherheit]. IIRC kannst du das Zertifikat herunterladen und installieren, dann sollte die Meldung nicht mehr kommen. Ueber SMTP kannst du nicht abrufen, sondern nur schicken. Zum Abrufen muesstest du IMAP verwenden. Ob das nun mit deinem Exchange-Server funktioniert muesstest du ausprobieren. Nachteil ist jedenfalls, dass afaik ein Kaldenersync zwischen Exchange-cal und Thunderbird nicht funktioniert, bzw. ein Workaround mit Plugin noetig ist.
rad1oactive knows about the birb Registered: Jul 2005 Location: Virgo Superclust.. Posts: 12730	03.04.2014 - 09:56 /ack, da fehlt einfach das Zertifikat. bei uns in der Firma ists genau das gleiche
Cuero Vereinsmitglied Vereinsmitglied Registered: Feb 2001 Location: Erde Posts: 3556	03.04.2014 - 10:09 wenn ihr euch das mit einem "offiziellen" cert antun wollt, braucht ihr ziemlich sicher ein UC-Zertifikat, damit das dann auch übers handy, etc. problemlos geht... gibts z.b. hier: http://ssl.comodo.com/unified-commu...ertificates.php
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15868	03.04.2014 - 10:16 oder einfach per reverse-proxy ein normales zertifikat nutzen
Luka Vereinsmitglied ... Registered: Nov 2006 Location: Mödling Posts: 205	03.04.2014 - 10:26 Man sollte sich nicht angewöhnen, solche Fehlermeldungen wegzuklicken. Selbstsignierte Zertifikate sind anfällig für Man-in-the-middle-Angriffe. Wenn das Zertifikat nicht überprüft wird, könnte man euch ein gefälschtes Zertifikat unterschieben und sich als euren Server ausgeben. Entweder man lässt das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle unterschreiben oder überprüft den so genannten Fingerabdruck des Zertifikats selbst. Wenn man Geld sparen will und der Dienst nur intern genutzt wird, kann man auch seine eigene Zertifizierungsstelle betreiben. Das Zertifikat der Zertifizierungsstelle muss auf jedem Client vorinstalliert werden.
Corow Here to stay Registered: Sep 2005 Location: Austria Posts: 1214	03.04.2014 - 10:54 @luka: Normalerweise klick ich sowas auch nicht einfach weg bzw. such ich Rat bei dem/der Verantwortlichen, in meinem Fall hab ich das ja auch getan, aber ich war mir nicht sicher was der Grund für die Meldung sein könnte. Naja jetzt weiß ich es. Danke erstmal für die Antworten genau sowas hab ich vermutet aber wie gesagt keine Ahnung davon.
deagle Addicted Registered: May 2004 Location: Wien Posts: 381	03.04.2014 - 11:12 Falls es nur Zugriff via OWA und kein Activesync/IMAP/SMTP gibt, bietet sich als Workaround auch an, auf deinem Client DavMail mit Thunderbird und Lightning zu verwenden. Ich weiß allerdings nicht, ob das ein self-signed certificate schluckt - wenn ein Exchange-Server im Budget drinnen ist, sollte man imho auch nicht an den paar Euro für ein Zertifikat von einer CA sparen
__Luki__ bierernste Islandkritik Registered: Nov 2003 Location: gradec Posts: 3011	03.04.2014 - 11:16 Naja, kommt auf den Verwendungzweck an. Wenn ich Exchange 'im Haus' habe und nicht durch irgendwelche Public-Netze muss ist so ein Zertifikat einfach obsolet imho.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12627	03.04.2014 - 11:24 Zitat von deagle Falls es nur Zugriff via OWA und kein Activesync/IMAP/SMTP gibt, bietet sich als Workaround auch an, auf deinem Client DavMail mit Thunderbird und Lightning zu verwenden. Ich weiß allerdings nicht, ob das ein self-signed certificate schluckt - wenn ein Exchange-Server im Budget drinnen ist, sollte man imho auch nicht an den paar Euro für ein Zertifikat von einer CA sparen es sind ein paar 100€ pro jahr, also ned sooo wenig. kommt halt drauf an ob mans braucht.
deagle Addicted Registered: May 2004 Location: Wien Posts: 381	03.04.2014 - 11:26 Das stimmt schon, aber bei mehreren Außenstellen (wie im 1. Post beschrieben) ohne VPN (das postuliere ich jetzt einmal) ist es imho schon angebracht. Aber spätestens bei "gemeinsamer GMX Account" hats mir schon ein bisschen die Grausbirnen aufgezogen, spricht jetzt nicht unbedingt für die IT-Abteilung
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12627	03.04.2014 - 11:58 ich bin mir jetzt ned sicher weil ich das OWA graffel gsd nicht verwenden muss, aber afaik ist es doch so dass nach der installation des certs die abfrage nimmer kommt oder ? d.h. man muss nur beim ersten mal checken ob das self signed cert valide ist und ist dann genauso sicher wie mit einem von einer CA, oder überseh ich da was ?
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3789	03.04.2014 - 12:19 Zumindest ein einzelnes Cert kostet nicht soviel, bei StartSSL kann man z.B. sogar eines gratis erhalten. cacert.org gäbe es auch noch, da muss man allerdings auch händisch das CA-Zertifikat importieren (wie beim selbstsignierten).
wergor connoisseur de mimi Registered: Jul 2005 Location: vulkanland Posts: 4149	03.04.2014 - 12:53 Zitat von luka Man sollte sich nicht angewöhnen, solche Fehlermeldungen wegzuklicken. Selbstsignierte Zertifikate sind anfällig für Man-in-the-middle-Angriffe. Wenn das Zertifikat nicht überprüft wird, könnte man euch ein gefälschtes Zertifikat unterschieben und sich als euren Server ausgeben. wenn man die ausnahme/zertifikat einmal gespeichert hat und sich der fingerprint ändert, meldet sich eh die software?

Frage zu "vertrauenswürdigen Verbindungen"

Forum Index > Digital Life > Internet & Provider

Corow

daisho

__Luki__

rad1oactive

Cuero

userohnenamen

Luka

Corow

deagle

__Luki__

davebastard

deagle

davebastard

nexus_VI

wergor

Luki

Luki