Umgang mit Zertifikaten

Hinweise bzgl. der Vertrauenswürdigkeit des Zertifikats

Seit dem 17.09.2012 hat MBOX ein neues Zertifikat (hier im DER, bzw. im PEM-Format), das von einer Zertifizierungsstelle zertifiziert wurde, die in den aktuellen Web-Browsern integriert ist.
Dies hat zur Folge, daß eine entsprechende Fehlermeldung nicht mehr erscheint und man das Wurzelzertifikat nicht mehr installieren muß.
Ist dem nicht so (z.B. unter Linux oder bei alternativen Browsern), müssen die fehlenden Zertifikate (s.u.) im Browser, bzw. der entsprechenden Anwendung händisch installiert, bzw. importiert werden.
Ggf. muß das alte Zertifikat von "mbox.uni-stuttgart.de" (Gültigkeit bis September 2012) noch gelöscht werden. Das Zertifikat der USCA wird ebenfalls nicht mehr benötigt.

Sie finden die restlichen neuen Zertifikate hier.

Die Zertifikatshierarchie sieht dann folgendermaßen aus:

  • Deutsche Telekom Root CA 2
  • DFN-Verein PCA Global - G01
  • Universitaet Stuttgart CA G01
  • mbox.uni-stuttgart.de

Die Fingerprints des Zertifikates von "mbox" lauten:    

SHA1 Fingerprint=95:50:9B:46:12:C4:B2:8C:4C:6A:12:97:1C:42:3E:3E:24:73:9C:11
    MD5  Fingerprint=13:0E:CE:A3:C7:04:BE:7E:76:D3:42:17:F6:1B:7B:83

Sie können diesen z.B. im Firefox-Webbrowser oder im MS-Internet-Explorer überprüfen:

  • Firefox
    auf der Seite rechte Maustaste klicken -> "Seiteninformation anzeigen" -> Sicherheit -> Anzeigen -> Fingerabdrücke
  • Internet Explorer
    auf der Seite rechte Maustaste klicken -> Eigenschaften -> Zertifikate -> Details -> Fingerabdruck

Was weiterhin Probleme bereitet, ist, daß besonders der Internet-Explorer(IE), bzw. MS-Outlook das Zertifikat nicht akzeptieren, wenn man statt "mbox.uni-stuttgart.de" die eigene Maildomaine verwendet.
Sie bekommen beispielsweise beim IE7 eine Fehlerseite mit "Es besteht ein Problem mit dem Sicherheitszertifikat der Website."

Wenn Sie sicher sind, daß Sie Ihre Maildomaine richtig als Url im Webbrowser eingetragen haben, bekommen Sie beim Klick auf "Laden dieser Website fortsetzen (nicht empfohlen)" die Anzeige "Zertifikatsfehler".
Dies hängt damit zusammen, daß alle Maildomainen dieselbe IP-Adresse haben und das Zertifikat auf "mbox.uni-stuttgart.de" ausgestellt ist.
Die Verbindung ist jedoch trotzdem verschlüsselt, auch wenn dies nicht angezeigt wird.

Als Abhilfe wird folgende Konfiguration empfohlen:

Zugriff über Webmail:

Url: https://mbox.uni-stuttgart.de
    Login Name: [loginname]@[maildomain]
        (Beispiel: rusdampf@po2.uni-stuttgart.de)
 
Zugriff über Mailclient:

...
    Posteingangsserver: mbox.uni-stuttgart.de
    Postausgangsserver: mbox.uni-stuttgart.de
    Benutzername: [loginname]@[maildomain]
        (Beispiel: rusdampf@po2.uni-stuttgart.de)
    ...