Probleme mit dem Login bei Chrome 50 und bei Empfang von Mail von Googleservern [GELÖST]

[Martin]

Hallo,

seit letzter Woche erreichten uns einige Meldungen von Benutzern, dass es mit Chrome 50 Probleme mit dem Login bzw. Aufruf von KeyHelp gibt.
In den letzten Tagen kamen auch noch Meldungen zu Empfangsproblemen von Mails, welche von Google Mailservern kommen. (z.B. von gmail Konten)
Die Probleme traten nach weiterer Untersuchung im Zusammenhang auf, d.H. wenn KeyHelp via Chrome 50 nicht aufrufbar ist, ist auch kein Empfang von Mail seitens Google möglich und umgekehrt.

Im Maillog taucht hierbei Empfang von Mail die folgende Fehlermeldung auf:

Apr 26 09:36:29 km31209 postfix/smtpd[32676]: connect from mail-lf0-f54.google.com[209.85.215.54]
Apr 26 09:36:29 km31209 postfix/smtpd[32676]: SSL_accept error from mail-lf0-f54.google.com[209.85.215.54]: 0
Apr 26 09:36:29 km31209 postfix/smtpd[32676]: warning: TLS library problem: 32676:error:14094417:SSL routines:SSL3_READ_BYTES:sslv3 alert illegal parameter:s3_pkt.c:1262:SSL alert number 47:
Apr 26 09:36:29 km31209 postfix/smtpd[32676]: lost connection after STARTTLS from mail-lf0-f54.google.com[209.85.215.54]
Apr 26 09:36:29 km31209 postfix/smtpd[32676]: disconnect from mail-lf0-f54.google.com[209.85.215.54]

Nach der Fehlersuche stellte sich heraus, dass diese Probleme die selbe Ursache haben: das self-signed default Zertifikat wird von Google bzw. Chrome 50 als "bad certificate" zurückgewiesen. Die genaue Ursache hierfür ist unklar, eine Vermutung ist das hier bemängelt wird das es sich noch um ein SHA1 signiertes Zertifikat mit langer Laufzeit ist. (Ein Update auf SHA2 ist geplant, benötigt aber noch Anpassungen am SSL System, welches KeyHelp für die Generierung von Zertifikaten nutzt)
Als alleinige Ursache kann dies allerdings nicht in Frage kommen, da andere default Zertifikate sowohl von Chrome 50 als auch den Google Mailservern problemlos akzeptiert werden. Auch bei der folgenden Problemlösung würde zunächst wieder ein SHA1 Zertifikat generiert.
Abhilfe schafft hier nämlich das Neugenerieren eines Zertifikates in KeyHelp. Alternativ ist natürlich auch die Einbindung eines offiziell signierten Zertifikates für KeyHelp sowie den Mailserver möglich (SSL -> Zertifkat für Serverdienste).

Dies als Hinweis, falls jemand über das Problem stoßen sollte.

[Martin]

Hallo,

als Lösung des Problems wird KeyHelp im kommenden Update prüfen, ob das ursprünglich generierte "default" Zertifikat noch existiert, und dieses, sofern es sich um ein SHA1 Zertifikat handelt, als SHA2 Zertifikat neu erstellen.