SSL-Zertifikatfehler in Java ignorieren

Immer wieder darf man mit Servern zusammenarbeiten, die zwar eine SSL/TLS-Verbindung anbieten, dabei aber auf müllige Zertifikate setzen:

  • Unbekannte/selbstgebaute CA
  • Komische CA-Chains bei der die Zwischenzertifikate fehlen
  • Servername passt nicht zum OU/DN

Dass man mit solchen Zertifikaten den ganzen Sicherheitsaskept ad-absurdum führt interessiert die Serverbetreiber meist nicht.

Trotz allem will/muss man mit solchen Diensten aber kommunizieren.
MIttels folgendem Code ignoriert man sowohl ungültige CA-Ketten als auch unpassende Zertifikate zum Server selber:
Weiterlesen

Rootserver-Serie VI: Die eigene CA für Web, Mail und FTP

In heutigen Zeiten (ich erspare mir nähere Ausführungen….) ist es praktisch unerlässlich (auch) gesicherte Kommunikation zu betreiben.

Sei es der Zugriff auf den Webmail per Browser, das verschicken von eMails oder das nutzen von FTP-Servern. Überall werden die Daten prinzipiell unverschlüsselt gesendet.
Glücklicherweise bieten heutzutage aber alle Dienste auch TLS für ihre Protokolle an. Selbiges muss man nur noch nutzen. Das Hauptproblem neben den unterschiedlichen Zertifikatsformen ist, dass SSL-Zertifikate immer viel Geld kosten wenn sie ordentlich unterschrieben sein sollen. Weiterlesen

SSL routines:SSL3_GET_RECORD:wrong version number

Nach einem Update war eine vernünftige Verwendung meines Courier-IMAP mit SSL nicht mehr möglich.

KMail und Outlook beenden sich mit einem nichtssagenden Fehler (komischerweise kommt das K800i aber ohne Probleme klar).
Eine mehr oder weniger gute Fehlermeldung lässt sich im syslog finden:

imapd-ssl: couriertls: connect: error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number Weiterlesen

Die eigene (OpenSSL-) CA aufbauen

Seit längerer Zeit bietet mein kleiner Heimserver unter einem DynDNS-Account sowohl IMAP- als auch SMTP-Dienste gegenüber der Außenwelt an.
Keine Panik. Keine Spamschleuder ;-)

Damit das ganze sicher ist nutzen beide SSL/TLS.

DamalsTM habe ich einfach so der Zertifikat generiert und jeweils immer die Warnmeldung im Browser und eMailclient abgenickt.

Mein neues Handy ist allerdings nicht ganz so handzahm. Es kennt nur ein paar CAs und alle anderen Zertifikate, welche nicht von einer anderen CA signiert wurden werden einfach abgelehnt (Mit leider nicht ganz aussagekräftigen Fehlermeldungen…).
Einmaliges zustimmen oder sogar das Aufnehmen des Zertifikates als sicheres Zertifikat in den Handyspeicher ist gar nicht möglich.
Weiterlesen