SSL accept Failed

  • Ich hab heute auf einem David Server das SSL Zertifikat erneuert.

    Eigentlich kein Hexenwerk und bisher hat alles immer funktioniert. Neues Wildcard Zertifikat für die Domäne eingespielt....

    und nun bekommen alle Android Devices keine Mails mehr oder können nicht mehr versenden.

    iOS muckt nicht!

    Im Webbox Protokoll bekomme ich nur die Meldung "SSL accept Failed" wenn ein Smartphone connected.

    Zugriff über webbrowser funktioniert und er hat das Zertifikat auch sauber eingespielt. Nur Active Sync klappt nicht.

    Jemand eine Idee?

    Tobit David Profi und Fachhändler seit 2000.

    proxytec.de

  • das Problem ist wohl nicht das Zertifikat oder David.

    Die Smartphones sind gemanaged via Sophos Mobile Control und das Mailpostfach wurde beim ausrollen des devices mit eingerichtet. Jetzt wo das Zertifikat sich geändert hat, sollte es eigentlich kein Problem sein. Aber die einzige Lösung die ich bisher gefunden habe ist das Mailkonto zu löschen und wieder neu einzurichten. Sehr unbefriedigend.

    Tobit David Profi und Fachhändler seit 2000.

    proxytec.de

  • Die scheint wohl leider ein Bug zu haben und ich muss das Mailkonto neu anlegen wenn sich Zertifikate ändern.

    Hat sich denn großartig etwas am Zertifikat geändert? CNI, etc.?

    Wäre das erste Mal, dass ich davon höre, zumal auch LE-Zertifikate standardmäßig alle drei Monate ersetzt werden.

    Unsere Zertifikate werden über LE bezogen, allerdings auf einem anderen Server als david. Die Zertifikate haben wir manuell in david eingebunden.

    Werden die Zertifikate neu ausgestellt, wird die Zieldatei, auf die david zugreift, einfach nur ersetzt und die Dienste starten neu. Bei uns gab es noch keine Probleme.

    ===

    EDIT:

    Sehe gerade, dass es um Zertifikate für den Abruf per IMAP geht. Gibt es einen speziellen Grund, wieso die Smartphones nicht per EAS angebunden sind?

  • so es ist wieder soweit. Ein Jahr ist rum. Neues Zertifikat, gleicher Fehler. Ich versuch das Ganze jetzt mal mit einem Samsung Smartphone. Mal sehen ob das das Gleiche Problem besteht.

    Hat das Problem niemand der die GMail App zur Anbindung an David via ActiveSync nutzt?

    Sobald ich das Zertifikat ändere ist Game Over.

    Der hier hat genau das selbe Problem:

    Android Gmail-App Zugriff auf einen Exchange Server nach Update nicht mehr möglich. - Gmail-Community

    Tobit David Profi und Fachhändler seit 2000.

    proxytec.de

    Edited 2 times, last by JackC (July 3, 2023 at 8:38 PM).

  • also ich habe jetzt ziemlich lange rum getestet.

    Zertifikat von SwissSign und Digicert verwendet.

    Das iphone sowie die Mailapp von Samsung juckt es nicht ob das Zertifikat gewechselt wird und es funktioniert alles. Aber GMail ist der letzte Müll. Sobald das Zertifikat gewechselt wird, geht gar nichts mehr und ich muss das Konto in der App löschen und neu einpflegen.

    Hat denn sonst niemand das Problem bzw. nutzt niemand Android Smartphones mit der GMail App?

    Wieder ein weiteren Beitrag dazu gefunden. Google sperrt den Post für weitere Antworten und dann passiert nichts. https://support.google.com/mail/thread/76…ge-poorly?hl=en

    Tobit David Profi und Fachhändler seit 2000.

    proxytec.de

    Edited once, last by JackC (July 5, 2023 at 8:43 AM).

  • Wir nutzen aus guten Gründen fast ausschließlich Samsung Smartphones mit der Samsung Mail App.
    Einzig bei privaten Smartphones von Mitarbeitern kommen auch mal Huawei oder Honor Handys vor, auf welchen dann die GMail App verwendet wird. Da ist uns allerdings noch kein Problem aufgefallen. Allerdings setzen wir auch auf lets encrypt Zertifikate und das schon bevor es diese seitens Tobit in den David Server integriert gab, seit dem ist es nur einfacher geworden, weil automatisiert.

    Ich könnte mir vorstellen das Ihr ein zu hochwertiges Zertifikat für Eure Installation nutzt und sich im Grunde einzig die Gmail App im Sinne des Zertifikates korrekt verhält, während die anderen sich zwar pragmatisch verhalten, aber eigentlich keine Datensicherheit herstellen.

    Was ich meine ist, das es einfache Zertifikate gibt welche rein zur Absicherung der Kommunikation dienen und sicherstellen das es keine Man in the Middle Angriffe gibt, weil das Zertifikat bestätigt das der Verwender des Zertifikates auch tatsächlich die Verfügungsgewalt über den Zielserver hat. Und dann gibt es qualifizierte Zertifikate welche zusätzlich noch die Identität des Inhabers bestätigen.
    Lets Encrypt Zertifikate fallen in die erste Kategorie, Eure vermutlich in die zweite.
    Ich bin mir aktuell nicht ganz sicher ob es relevant ist ob der Zertifikatsherausgeber (hier SwissSign bzw. Digicert) der selbe bleiben müssen damit ein Wechsel reibungslos funktioniert, allerdings weiß ich das schon ein einzelnes geändertes Zeichen im Namen des Zertifikatsinhabers dazu führt das der Gmail Client bei der Prüfung sagt das der Kommunikationspartner nicht mehr der gleiche ist welcher bei Anlegung des Accounts mal vom zu der Zeit gültigen Zertifikat bestätigt wurde.

    Auch wenn es lästig ist, im Grunde ist das was Du erlebst mit hoher Wahrscheinlichkeit genau so gewollt.
    So wie ich das sehe solltest Du also zwei (nein drei) Möglichkeiten haben das zu umgehen.
    1. Du bleibst künftig bei einem einzigen Anbieter und verlängerst die Zertifikate stets statt sie auszutauschen.
    2. Du wechselst auf ein einfacheres Zertifikat welches nicht auch Eure Identität bestätigt, also die gleiche Zertifikats Klasse wie sie auch Lets encrypt ausstellt.
    3. Du verwendest lets encypt (wahlweise mit site care oder ohne, dafür dann mit ein wenig Handarbeit, die alten Anleitungen von früher müssten dafür nach wie vor funktionieren und sind soweit ich mich erinnere auch hier im Forum zu finden)

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!