SSL Handshake Alert [GELÖST]

[@ITS]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
Zusammenhang

Server-Betriebssystem + Version
Debian 11.11

Eingesetzte Server-Virtualisierung-Technologie
Dedicated Server

KeyHelp-Version + Build-Nummer
25.1 (Build 3433)

Problembeschreibung / Fehlermeldungen

Im Mail-Log fiel mir eine Flut an SSL Warnings auf, fortlaufend jede Minute, die mich stutzig machten.
Es betrifft immer nur 2 IP Adressen. Eine Regional, eine im Ausland. Zu welchen Konten ist unklar.

Code: Select all

2025-08-19 01:56:18	dovecot	imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=xx.xx.xx.xx, lip=xx.xx.xx.xx, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=
2025-08-19 01:56:18	dovecot	imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=xx.xx.xx.xx, lip=xx.xx.xx.xx, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=

Nun hatte ich mir auch das Lets-Encrypt Zertifikat angesehen und entdeckt, dass dort kein CA hinterlegt ist.
Im Vergleich zu anderen Server, der 1:1 gleich aufgesetzt wurde und selbe OS/Keyhelp Version nutzt, ist das nicht der Fall, dort ist auch die CA Zeichenkette vollständig drin.

Der Fehler kommt meines Erachtens deswegen und Client lehnt das Zertifikat ab.
Es betrifft das Serverzertifikat womit alle Dienste abgesichert sind.

2025-08-19_014653.png (15.09 KiB) Viewed 286 times

Scheinbar hat KH/LE das CA beim Erstellen nicht angelegt.
Es liegt kein .ca.crt unter /etc/ssl/keyhelp/letsencrypt/keyhelp/files
Nur ein .crt + .key

Beim anderen Server ist auch das CA vorhanden.

Unter /etc/ssl/keyhelp/letsencrypt/keyhelp/hostename liegen die .pem files und dort auch ein fullchain.pem wenn hilfreich.
Bzw. müsste man glaube das crt + key zusammenführen und als CA ablegen ?
Oder soll ichs per certbow renew tätigen ?
Per Keyhelp Wartung hat es die fehlende Zeichenkette nicht erneuert.

btw:
heißen die Files beim betroffenen nicht default.crt/key/ca-crt sondern wurden mit Hostname u. einer Nummer angelegt, aber nicht relevant wenn korrekt verknüpft.


Erwartetes Ergebnis
Behebung der SSL Warnung

Tatsächliches Ergebnis

Schritte zur Reproduktion

Zusätzliche Informationen

Wenn ich einen Check mache: openssl s_client -connect hostname.tld:993 -showcerts

Werden jedoch 2 Certs angezeigt. Scheinbar kein Unterschied zum anderen Server.


Danke vorab

[Alexander]

Welches Zertifikat ist denn für den Mailserver zuständig?

"SSL/TLS-Zertifikate" -> "Serverdienste Absichern"

Das Zertifikat aus deinem Screenshot ist nur das selbstsignierte Default-Zertifikat, welches bei der Installation erstellt wird um wenigstens irgendein Zertifikat zu haben, sollte das Let's Encrypt nicht bezogen werden können.
Sehr wahrscheinlich ist dies nicht aktiv, kann ich aber aus den gegebenen Daten nicht einsehen.

Dieses Default Zertifikat hat auch nichts mit den Let's Encrypt Zertifikaten zu tun, Namenschema / Ordnerstruktur etc. sind unterschiedlich.

Ungeachtet dessen sollte das Default Zertifikat auch über ein CA verfügen. Der wird bei der installation einmalig im /etc/ssl/keyhelp/files/ abgelegt und dann nicht wieder angerührt. Warum es bei dir fehlt kann ich nicht sagen. Da findet lediglich eine Kopieroperation statt, also nichts komplexes.
Auf anderen Servern ist dies vorhanden Ggf. erfolgte ja ein manueller Eingriff im Ordner.
Wie dem auch sei, du kannst es dir einfach aus folgenden Quellen kopieren: /etc/ssl/keyhelp/root-ca.crt oder /home/keyhelp/www/keyhelp/install/templates/tls/keyhelp-root-ca.crt und über die KeyHelp UI einfügen.
(Datum müsste ich mal aktualisieren, seh ich gerade).

[Ralph]

Bei mir sieht es auch so aus, ich habe nach der Installation das default neu erstellt mit eigenen Inhaber Angaben, dann Serverdienste neu absichern (Auswahl LE) das CA wird in der Übersicht also auch nicht erkannt.
Allerdings hat der Dovecot error.log wohl nichts damit zu tun, der wird vermutlich durch veraltete Email Clients oder Attacken verursacht:

SSL routines:ssl3_read_bytes:sslv3

Ich sehe jetzt keine direkten Probleme bzgl. CA ... sollte ich es trotzdem noch hinzufügen bzw. "Edit Certificate > CA Certificate > Choose file"

/etc/ssl/keyhelp/root-ca.crt

?

[Waldfee]

Moin, ich kann das leider nicht bestätigen.
Das Problem.

[Ralph]

https://luxsci.com/smtp-tls-checker/
und hier bekomme ich ein A result:
https://www.immuniweb.com/ssl/
hostname.tld:110 bzw. Port mit angeben

[Alexander]

Bei mir sieht es auch so aus, ich habe nach der Installation das default neu erstellt mit eigenen Inhaber Angaben, dann Serverdienste neu absichern (Auswahl LE) das CA wird in der Übersicht also auch nicht erkannt.

Wenn du es neu erstellt hast und kein CA beim Erstellen mit angegeben hast, dann wird es nicht automatisch ergänzt.
Wenn du es mit CA erstellen möchtest, musst du entsprechendes CA auch mit angeben.

[@ITS]

Doch das ist genau das Zertifikat. Es gibt dort kein anderes.
Das Default Lets Encrypt wird für die ganzen Server Absicherungen genutzt.

Nach meiner Recherche kommt der Fehler durch die fehlende Zeichenkette. Aber kann mich irren. Nur wodurch dann ?
Wie gesagt, kein SSL Alert bei anderen Server mit selber Konfiguration aber dort wurde das CA angelegt beim Installieren.

Bei anderen Server ist auch CA hinterlegt.
Hatte da bei der Einrichtung bei KH nichts wählen können, beim Anlegen des Default Lets Encrypt.
Glaube aber (länger her) dass ich es wie Ralph dann mit eigenen Angaben ersetzt hatte u. vl. dadurch, bei ihm ist es ja wohl auch so.

Wollte jetzt bei Produktiven Server das Zert. nicht löschen und neu anlegen.

Wie dem auch sei, du kannst es dir einfach aus folgenden Quellen kopieren: /etc/ssl/keyhelp/root-ca.crt oder /home/keyhelp/www/keyhelp/install/templates/tls/keyhelp-root-ca.crt und über die KeyHelp UI einfügen.

Thx. Ich versuche das dann aus dem angegebenen Pfad zu kopieren u. prüfe das ganze nochmals.

https://luxsci.com/smtp-tls-checker/
und hier bekomme ich ein A result:
https://www.immuniweb.com/ssl/
hostname.tld:110 bzw. Port mit angeben

Sieht bei mir gleich aus bei beiden Seiten.
Es wird auch das IRSRG Root X1 (Root CA) + R10 (Intermediate CA) + Serverzertifikat Hostname ausgegeben.

Einzig Unterschied ist wirklich, dass das Interface das CA nicht erkennt da nicht unter Files abgelegt wurde ^^

[Alexander]

Doch das ist genau das Zertifikat. Es gibt dort kein anderes.
Das Default Lets Encrypt wird für die ganzen Server Absicherungen genutzt.

Das Zertifikat von diesem Screenshot: download/file.php?id=3244
kann kein Let's Encrypt Zertifikat sein, da Let's Encrypt-Zertifikate nicht über diese Oberfläche, von der der Screenshot stammt, verwaltet werden. Let's Encrypt Zertifikate werden komplett intern durch KeyHelp verwaltet.

Das was im Screenshot zu sehen ist ist entweder das selbst-signierte Zertifikat, das während der KeyHelp Installation durch KeyHelp abgelegt wurde, oder ein manuell hinzugefügtes Zertifikat, dem der name "default" gegeben wurde.

[Waldfee]

Dieses "default" Zertifikat im Adminbereich hat nichts mit Lets Encrypt zu tun.

Ich zitiere auch gerne Alexander:

Dieses Default Zertifikat hat auch nichts mit den Let's Encrypt Zertifikaten zu tun

Es ist ein Selbstsigniertes.

Das Zertifikat aus deinem Screenshot ist nur das selbstsignierte Default-Zertifikat, welches bei der Installation erstellt wird um wenigstens irgendein Zertifikat zu haben, sollte das Let's Encrypt nicht bezogen werden können.

Ich habe mal ein Screenshot von meinem KeyHelp Server angehangen, das dort vorhandene Zertifikat ist kein Let's Encrypt Zertifikat.

Und das gleiche gilt auch bei dir, du müsstest es bei dir also geändert oder neu erstellt haben.

Edit1:

So sieht es bei mir aus:

[@ITS]

Ja, sorry verwechselt, ja klar das Selbst-Signierte ist eh gemeint und ja genauso wird's bei besagten Server gehandhabt.
Aber Mail-Server wo diese Meldung kam, geht ja über das Lets Encrypt. Das wird nicht im Panel angezeigt, richtig... könnte man das anzeigen lassen ?

Hm.. dann hat das eine ja gar nichts mit dem anderen zu tun bzgl. der Meldung.

Finde die Auflistung minimal unübersichtlich verwirrend u.a. sehen die User ihre Lets Encrypt nicht unter SSL Zertifikate, sondern nur bei den Domains wenn aktiviert. Unter SSL werden nur eigene eingebundene angezeigt. Würde die LEs dort auch anzeigen lassen, falls möglich, aber nur so mein Feedback, dann wären alle über einen Menüpunkt ersichtlich. Nicht so wichtig.
Zumindest bei meinen Fall gibt es nicht mehr viele, welche auf kostenpflichtige SSL setzen.

[@ITS]

Sorry für Doppelpost.
Hab mal das Root-CA (/etc/ssl/keyhelp/root-ca.crt) in Keyhelp in das Selbstsignierte kopiert.
Es kam zwar eine Meldung, "Ungültige Kombination aus CA-Zertifikat und Zertifikat." wurde jedoch gespeichert und das CA wurde angelegt.

190825_1750.jpg (54.01 KiB) Viewed 125 times

Die Meldungen sind damit nicht erledigt, aber hatte ja wohl die Zertifikate verwechselt, die Mailserver Absicherung erfolgt ja übers Lets Encrypt.

Da es mittlerweile eine Handvoll IP Adressen waren, habe ich diese mal geprüft.
Ein paar davon waren bei Spamrats unter RATS-Dyna od. RATS-NoPtr gelistet.
Es war aber auch eine IP eines heimischen ISP dabei die sicher kein Angriff war bzw. PTR korrekt.

Ich nehme mal an, es sind Angriffe oder Probleme auf Client-Seite.
Aber Fail2Ban springt bei dieser Sache wohl nicht an, wenn es nur das SSL betrifft.

Es hatte mich nur verwundert. Probleme gibt es an sich sonst keine.
Anderer Server, der durchaus mehr Maikonten führt und vermehrt Angriffs-Ziel ist, zeigt mir solch Logs nicht.

[Ralph]

Aber Mail-Server wo diese Meldung kam, geht ja über das Lets Encrypt. Das wird nicht im Panel angezeigt, richtig... könnte man das anzeigen lassen ?

Die LE .pem liegen unter /etc/ssl/keyhelp/letsencrypt ...
https://decoder.link/sslchecker/

Das TLS handshaking im error.log wird durch einen Email Client produziert der vermutlich veraltet ist.

Das missing CA beim self signed, finde ich nur bei 2 Systemen ... bei anderen ist das CA fürs self signed cert vorhanden.
Ich teste das erstellen eines self signed aber nochmal bei diesen beiden Kisten, aber ich denke mal es ist kein kritisches Problem ...

[Ralph]

OK, wenn ich bei diesen beiden Systemen ein neues self signed erstelle, fehlt das CA und wenn ich dann den Inhalt von keyhelp-root-ca.crt in die Textarea kopiere, bekomme ich ein:

Invalid combination of CA Certificate and certificate.

gleiche Meldung auch bei Auswahl von

cat /etc/ssl/keyhelp/letsencrypt/keyhelp/host.myhostname.tld/chain.pem

und in den Event Logs bei Neu Erstellung self signed:

Certificate bundle (#6) not found during certificate container file generation.

[Alexander]

Finde die Auflistung minimal unübersichtlich verwirrend u.a. sehen die User ihre Lets Encrypt nicht unter SSL Zertifikate, sondern nur bei den Domains wenn aktiviert. Unter SSL werden nur eigene eingebundene angezeigt. Würde die LEs dort auch anzeigen lassen, falls möglich, aber nur so mein Feedback, dann wären alle über einen Menüpunkt ersichtlich. Nicht so wichtig.
Zumindest bei meinen Fall gibt es nicht mehr viele, welche auf kostenpflichtige SSL setzen.

Das ist schon gut so wie es ist. Warum sollte ich Nutzern dort ihre Let's Encrypt Zertifikate anzeigen, mit denen sie ohnehin nichts tun könnten.

[@ITS]

Ja, bei mir wars das selbe mit falscher Kombination wenn man es einfügt, siehe oben.
Es wird aber dennoch abgespeichert und hat bisher keinen Einfluss.


@Alex
Sagte ja nicht, das schlecht, mittlerweile auch gewohnt aber war ungewöhnlich Anfangs.
Selbe Thematik "SSL" einmal dort und einmal dort, das meinte ich mit unübersichtlich vor allem für User erstmal.
Ja klar, verstehe ich. Aber ggf. könnte man bei Problemen dann von dort aus erneuern auch als User o.ä. bzw. zwecks Übersicht vorhandener SSL auflisten für Admin und User. Ansichtssache. Passt schon ^^