MailPlus Meldung bzgl. nichtvertrauenswürdige Zertifizierungsstelle

[blurrrr]

Ist ja im Prinzip so ungefähr das, was ich auch schon gesagt habe... unter /usr/syno liegen aber wohl eher die eigenen Zertifikate, während unter /etc/ssl/certs/ die ganzen Root-Zertifikate liegen (welche so ziemlich auf fast jedem System (auch Windows/OSX/Linux)) hinterlegt sind.

Wäre halt schon interessant zu wissen, ob die betroffene Person die Mails an andere problemlos senden kann, oder ob diese ähnliche Fehler erhalten. Bzgl. der Root- und Zwischenzertifizierungsstellen-Zertifikate sehe ich jedenfalls kein Problem.

Sollen die das mal ruhig an die Entwickler weiterleiten, Problem wird nur sein, dass die dann sicherlich gern das betroffene Zertifikat (oder die betroffene Mail hätten), damit sie das Problem nachverfolgen können und das wiederum wäre mitunter datenschutzrechtlich so eine Sache

 

[lenswerk]

Nur bei mir wird dieser Fehlerhinweis angezeigt, bei anderen Adressaten ist nur zu sehen, dass die Mail signiert wurde, also alles in Ordnung.
@blurrrr, ich glaube, das bekomme ich diesmal nicht gebacken, ich möchte da auch nicht in sicherheitsrelevante Bereiche hineinpfuschen. Ich denke auch, Synology sollte die Liste der vertrauenswürdigen Zertifizierungsstellen via Update o.ä. möglichst aktuell halten. Oder vielleicht innerhalb des DSM die Möglichkeit vertrauenswürdige Zertifizierungsstellen anzulegen oder zu importieren, ähnlich wie bei der Erstellung eigener Zertifikate. Systemsteuerung > Sicherheit > Zertifikate > Zertifikatsstelle importieren, aus einer Liste auswählen und fertig

 

[blurrrr]

Synology sollte die Liste der vertrauenswürdigen Zertifizierungsstellen via Update o.ä. möglichst aktuell halten

Dem ist doch so, die Zertifikate sind ja da, wie ich es bereits auch schon geschrieben hatte... Hier das Zertifikat "direkt von der Syno":

Also ist die Aussage des Syno-Supports schon mal Blödsinn, ausser Du hast ihnen keinen Details geliefert (was Du durchaus hättest machen sollen).

Oder vielleicht innerhalb des DSM die Möglichkeit vertrauenswürdige Zertifizierungsstellen anzulegen oder zu importieren, ähnlich wie bei der Erstellung eigener Zertifikate. Systemsteuerung > Sicherheit > Zertifikate > Zertifikatsstelle importieren, aus einer Liste auswählen und fertig

Kannste natürlich auch machen, nur eben nicht auf "diesem" Wege... https://www.quovadisglobal.com/download-roots-crl/, dort findest Du auch das entsprechende Zertifikat "QuoVadis Swiss Advanced CA G4". Wie sich das nu allerdings auf der Syno in Bezug auf Mailplus verhält... keine Ahnung... der Weg wäre aber wohl: Geh via SSH in den richtigen Ordner und dann eben etwas in jene Richtung:

wget https://www.quovadisglobal.com/wp-content/files/media/quovadis_quovadisswissadvancedcag4.pem

Nachteil dabei ist, dass diese Zertifikate definitiv nicht von Synology gepflegt werden (ansonsten wären es nicht nur hunderte, sondern zig Tausende und da hat niemand Lust drauf (auch nicht Dein Mac, oder ein Windows)). Das kann aber auch alles nicht Sinn und Zweck der Sache sein... Also ich würde das so erstmal nicht machen... Ein Blick in die Logs sollte zumindestens schon offenlegen, was genau da jetzt an der Zertifizierungskette stört und damit könnte man dann entsprechend weiterarbeiten.

Auf der anderen Seite... würde Synology "generell" die Zwischenzertifizierungsstellen aussen vor lassen bei solchen Prüfungen, hätten sich sicherlich schon einige Leute darüber beschwert, das Problem wäre sicherlich durchaus bekannt, wenn nicht sogar schon gelöst.

Also wie gesagt... aktuelles Root-CA-Zertifikat "ist" vorhanden auf der Syno, somit sollte auch der Zwischenzertifizierungsstelle vertraut werden (die wurde von der Root-CA signiert), ergo sollte auch dem von der Zwischenzertifizierungsstelle ausgestelltem Zertifikat vertraut werden, was aber wohl anscheinend nicht der Fall ist. Frage wäre also: Warum nicht? Da solltest Du dem Syno-Support aber schon soviele Infos wie nur irgendwie möglich zukommen lassen, sonst wird das etwas schwierig mit dem Troubleshooting

 

[lenswerk]

@blurrrr, vielen Dank für deine Ausführungen. Ich warte jetzt erst mal ab, welche weiteren Informationen der Support benötigt.
Nur so ein Gedanke, das Problem trat das erste Mal ungefähr zu dem Zeitpunkt auf, als ich die FritzBox durch den RT6600 ersetzt habe. Könnte es da irgendeinen Zusammenhang geben?

 

[blurrrr]

Ich kenn den Router nicht, kannst aber mal in die Logs schauen... wenn da irgendwas passieren sollte, wirst Du das schon in den Logs sehen.

 

[lenswerk]

Gut, mal sehen, ob ich irgendwo etwas finde.
Danke, für die Unterstützung.

 

[blurrrr]

Hab ich grade noch gefunden...:

https://www.synology.com/de-de/releaseNote/MailClient

Version: 3.0.0-11648
(2022-11-22)
.......
Supports S/MIME for email signing and encryption.

Hast Du das Update schon installiert? Wenn das "Feature" jetzt "ganz neu" (*husthust*) ist... vllt ist ja noch der ein oder andere Bug drin

 

[lenswerk]

Hab ich grade noch gefunden...:

https://www.synology.com/de-de/releaseNote/MailClient

Hast Du das Update schon installiert? Wenn das "Feature" jetzt "ganz neu" (*husthust*) ist... vllt ist ja noch der ein oder andere Bug drin

Ja, hab ich bereits installiert, habe „S/MIME“ aber nicht aktiviert.