By Blog, Internet, , , , , , , , , , ,

Problem CN-Name des Zertifikats? (gelöst)

Beim Abrufen der Emails mit einem Emailprogramm (Emailclient, Windows Live Mail, Outlook, Thunderbird…), kann unter bestimmten Umständen folgende Fehlermeldung auftreten:

Der Server, mit dem Sie verbunden sind, verwendet ein Sicherheitszertifikat, das nicht verifiziert werden konnte. Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein. Möchten Sie diesen Server weiterhin verwenden?

Ich hatte dieses Problem auch, nachdem ich eine Webseitenmigration (Registrar, Hosting, Mailserver) durchgeführt hatte und dann die Outlook-Emailclients an diversen Computern anpassen musste. Und zwar habe ich dazu im jeweiligen bestehenden Konto von Outlook den Loginnamen und das Passwort geändert. Dazu habe ich zur Sicherheit umgestellt auf SSL „Dieser Server erfordert eine sichere Verbindung (SSL)“, deshalb habe ich auch den Postausgang (SMTP) auf Port 465 und Posteingang (POP3) auf Port 995 geändert. Da der Mailserver ja durch die DNS-Einträge erreichbar ist, habe ich die alte Einstellung unter Mailserver gelassen (mail.domainname.ch).

Beim Test stellte ich dann fest, dass sich Outlook zwar mit dem Konto verbinden konnte und auch Testmails senden und empfangen konnte. Jedoch gelang dies erst, nachdem ich folgende Fehlermeldung mit „Ja“ quittiert hatte: Der Server, mit dem Sie verbunden sind, verwendet ein Sicherheitszertifikat, das nicht verifiziert werden konnte. Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein. Möchten Sie diesen Server weiterhin verwenden?

Obwohl es funktionierte musste ich natürlich unbedingt diese Fehlermeldung weg bringen. Nach längerer Recherche und nachdem ich mich durch viele richtig schlechte Antworten und ewig  sinnlose (themenfremde) Diskussionen von zweifelhaften Forenteilnehmern (oder besser gesagt, Foren-Trollen) gekämpft hatte, fand ich die passende Erklärung, welche mich dann sofort auf die Lösung brachte!

Erklärung und Lösung

Die Meldung ist ein Hinweis, dass der Common Name (CN) in dem Zertifikat und der Hostname nicht übereinstimmen. Wenn der Hostname nicht in der kanonischen Form (auch Normalform genannt) eingetragen ist, kann es hier zu Konflikten kommen. Bei mir war z. B. „mail.domainname.ch“ nur ein Alias für „servername.hostername.ch“. Wenn ich nun über „mail.domainname.ch“ eine Verbindung aufbauen wollte, bekam mein Emailclient das Zertifikat für „servername.hostername.ch“ gezeigt, was natürlich zu einer Fehlermeldung führt, weil hier prinzipiell die Gefahr besteht, dass die Verbindung auf einen anderen Server umgeleitet wurde (was ja in meinem Beispiel zum Glück nicht der Fall war). Fazit: Wenn die Mailabfrage über eine SSL-Verbindung getätigt werden soll (was ich dringend empfehle), sollte die Adresse des Mailservers in der kanonischen Form angegeben werden. 

Deine Meinung?

Hat Dir meine Lösung geholfen, dein CN-Zertifikatproblem zu lösen? Hast Du noch Anregungen zu meinem Beitrag? Benutzt Du IMAP oder POP? Greifst Du per SSL oder unverschlüsselt auf Deine Emails zu? Ich freue mich über jeden Kommentar!

Leave A Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert