• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Es regnet, ist neblig und kalt, alle sind krank und der Chef wird zunehmend cholerisch. Das Thema des Monats ist also folgerichtig --> Das Grau(en)
    Wir sind gespannt, war Euch dazu einfällt! Zum Wettbewerb --> Klick

iOS 18: keine Verbindung mehr zum Mailserver (SSL)

Wuchtbrumme

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
22.009
Hallo,
nach der Upgrade-Arie geht mal wieder der Zugriff auf den eigenen, self-signed Mailserver nicht mehr (allerdings ist der richtig eingerichtet und hat auch funktioniert; Zertifikat ist immer noch valide, Namensauflösung funktioniert). Fehlermeldung in iOS (und auf dem iPad): Server antwortet nicht. Es kann keine gesicherte Verbindung hergestellt werden.
Mail.app von Sequoia arbeitet anstandslos (allerdings nach Upgrade, ohne Änderung und Anfassen).

In den letzten 5, 6 Versionen von i(Pad)OS habe ich immer das Gerät im Profilmanager auf Platzhalter zurückgesetzt und neu enrollt; dann kam ein Fenster "mailserver.x.y wird nicht vertraut" osä., wo man "Details" antappen konnte und dann "Vertrauen". Danach wurde dem Gerät vertraut (wehe, man hat da nicht "Vertrauen" angetappt; man musste die Aktion sonst wiederholen).
Die Meldung kommt auch jetzt wieder - nur, die Vorgehensweise hiilft nicht mehr.

Und nu? Meint das wer ernst?
Lösungen anyone?

Ah - nach Neustart erhalte ich eine etwas aussagekräftigere Meldung:
Unable to create a secure connection to the server ("Ungültiges Zertifikatsformat" -9.808).

Hat dazu jemand Erfahrungen, die er aus dem Ärmel schütteln kann? Danke.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Ijon Tichy

Skywalker05

Erdapfel
Registriert
18.09.24
Beiträge
1
Hab seit gestern das gleiche Problem. Nur auf dem iPhone. Auf dem iPad läuft email nach dem Update ganz normal.

Was bei mir funktioniert:
In dem email account unter Erweitert SSL verwenden abwählen. Dann meckert das iphone, aber trotzdem alles speichern. Danach funktioniert das email Postfach wieder.

Keine Ahnung warum. Die Fehlermeldung tritt wieder auf, wenn SSL verwenden angewählt wird.
Das ist sicher noch nicht die Lösung, aber es funktionert erstmal.
 
Ijon Tichy

Ijon Tichy

Clairgeau
Registriert
21.11.06
Beiträge
3.723
Hm.

Code: 
mailserver imaps[2613040]: Option 'tls_key_file' is deprecated in favor of 'tls_server_key' since version 2.5.0.

Was bedeutet das konkret?

Wuchtbrumme schrieb:
In den letzten 5, 6 Versionen von i(Pad)OS habe ich immer das Gerät im Profilmanager auf Platzhalter zurückgesetzt und neu enrollt; dann kam ein Fenster "mailserver.x.y wird nicht vertraut" osä., wo man "Details" antappen konnte und dann "Vertrauen". Danach wurde dem Gerät vertraut (wehe, man hat da nicht "Vertrauen" angetappt; man musste die Aktion sonst wiederholen).
Die Meldung kommt auch jetzt wieder - nur, die Vorgehensweise hiilft nicht mehr.
Hat dazu jemand Erfahrungen, die er aus dem Ärmel schütteln kann? Danke.
Zum Vergrößern anklicken....
Verwendest du ein eigenes Root-Zertifikat?Wenn ja, hast du das in den Profilen vom iPhone installiert und (unter Einstellungen" > "Allgemein" > "Info" > "Zertifikatsvertrauenseinstellungen") ihm explizit das Vertrauen ausgesprochen? Ist mailserver.x.y im CN oder Alternative Names oder ist es mit Wildcard? Werden Intermediate Certificates verwendet?

Siehe auch https://support.apple.com/de-de/102390
 
Zuletzt bearbeitet:
Wuchtbrumme

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
22.009
Ijon Tichy schrieb:
Was bedeutet das konkret?
Zum Vergrößern anklicken....
Hinweis auf deprecated Syntax, funktionierte trotzdem.

Ijon Tichy schrieb:
Verwendest du ein eigenes Root-Zertifikat?Wenn ja, hast du das in den Profilen vom iPhone installiert und (unter Einstellungen" > "Allgemein" > "Info" > "Zertifikatsvertrauenseinstellungen") ihm explizit das Vertrauen ausgesprochen? Ist mailserver.x.y im CN oder Alternative Names oder ist es mit Wildcard? Werden Intermediate Certificates verwendet?
Zum Vergrößern anklicken....
jajajajajajanein. Hat alles funktioniert.
Ijon Tichy schrieb:
Siehe auch https://support.apple.com/de-de/102390
Zum Vergrößern anklicken....
kenne ich, war entsprechend eingerichtet
Ijon Tichy schrieb:
Nix neues hier?
Zum Vergrößern anklicken....
man muss mal Zeit haben, sich um so einen Shit zu kümmern. Wenn das einzige, was geändert wurde, die iOS-Version ist, liegt es nah, den Bug dort zuerst zu suchen und eigentlich hatte ich keinen Bock, etwas an meinem System zu ändern.

Mail not working on iPhone after iOS 18 U… - Apple Community

discussions.apple.com discussions.apple.com
läuft voll, auch wenn da mal wieder 99% BS ahnungsloser Kiddies drin ist mit null Substanz (und vielleicht mag es auch noch andere Bugs geben, die auf die Überschrift "geht nicht" Symptome erzeugen).

Das ganze Zertifikatsthema geht mir so auf den Senkel und ich glaube auch nicht, dass man da ansatzweise in der richtigen Richtung unterwegs ist. Anyway, es geht mir so sehr auf den S+++, dass ich zumindest erwogen habe, das Thema reproduzierbar und für die Zukunft leichter handhabbar zu machen - und habe einen Docker-Stack mit step-ca eingerichtet.
(https://smallstep.com/docs/step-ca/getting-started/#example-run-a-local-web-server-using-tls, der Container läuft immer und wenn man seinen DNS im Griff hat, dann reicht ein step ca bootstrap ..., ein c_rehash und mit step ca certificate <FQDN> srv.crt srv.key bekommt man ein manuelles Zertifikat automagisch geliefert, das man nur noch einbinden muss, man kann aber auch ACME (Mechanismus wie Let's Encrypt) anfordern, aber das schien mir für einen Heimserver doch ein wenig oversized... ;) )

Das hat jetzt anderthalb Stunden gedauert und läuft intern - nur halt nicht mit iOS, womit ich den restlichen Tag verbraten habe. Ich hatte neben dem perspektivischen Ansatz auch die Hoffnung, dass dieses System weiß, was es tut und noch eher funktionieren würde als das was ich Stümper verbreche... Aber wenn ich unken würde, würde ich sagen nach den Logeinträgen in meinem dovecot/postfix, dass kein STARTTLS mehr gemacht wird.

Code: 
openssl s_client -connect mailserver.homelab.intern:587 -starttls smtp -showcerts | less
zeigt alle Zertifikate inkl. Intermediate und TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 256 bit - das sollte doch bitteschön grundsätzlich selbst für Apple akzeptabel sein.

Ich werde jetzt noch probieren, das öffentliche Zertifikat von den beiden zu exportieren und dann im iPhone manuell hinzuzufügen (obwohl das ja gerade nicht der Sinn davon ist, wenn man ein Root-Zertifikat korrekt installiert).

Dass im oben verlinkten Thread auch mit 18.1b3 kein Erfolg kommt... stimmt mich maulig. Gemeldet habe ich das Feedback bereits. Mir ist absolut unverständlich was da abgeht und dass das nicht höchste Prio bekommt. Dass das nicht aufgefallen ist ist ja noch schlimmer. Oder wie auch immer, wenn da seitens Apple eine Richtung vorgegeben wird nach dem Motto wir wollen keine selbstsignierten Zertifikate mehr, dann wäre es schön, wenn sich mal einer der Millionäre zur einer Ansage herablassen könnte. *kopfschüttel*
 
Zuletzt bearbeitet:
Wuchtbrumme

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
22.009
Update: Juchhuuuuuu (jaulender Unterton).
In dem root_ca.crt-Paket, das man mit step ca bootstrap herunterlädt ist das Intermediate-Zertifikat natürlich NICHT drin.
Das habe ich mir anzeigen lassen, schnipschnapp in eine Datei kopiert, auf den Profile Manager gezogen und in den Payload für das iPhone hinzugefügt - und es geht völlig kommentarlos automagisch. Und ganz nebenbei habe ich das seit einem Jahrzehnt für mich existierende nervtötende Problem mit gefixt, wonach man direkt beim ersten Mal nach dem Hinzufügen zum MDM eine Aufforderung bekam, dem Zertifikat zu vertrauen - und nur in diesem einen ersten Shot über Details/Vertrauen dem selbstsignierten Zertifikat vertrauen konnte (sonst musste man wieder das Profil für entfernte Verwaltung wieder entfernen und erneut probieren). Nicht schlecht.
 
Zuletzt bearbeitet:
Wuchtbrumme

Wuchtbrumme

Golden Noble
Registriert
03.05.10
Beiträge
22.009
Wuchtbrumme schrieb:
und habe einen Docker-Stack mit step-ca eingerichtet.
(https://smallstep.com/docs/step-ca/getting-started/#example-run-a-local-web-server-using-tls, der Container läuft immer und wenn man seinen DNS im Griff hat, dann reicht ein step ca bootstrap ..., ein c_rehash und mit step ca certificate <FQDN> srv.crt srv.key bekommt man ein manuelles Zertifikat automagisch geliefert, das man nur noch einbinden muss, man kann aber auch ACME (Mechanismus wie Let's Encrypt) anfordern, aber das schien mir für einen Heimserver doch ein wenig oversized... ;) )

Das hat jetzt anderthalb Stunden gedauert
Zum Vergrößern anklicken....
damit man nicht intransparent ist - das standardmäßige Zertifikat ist nur einen Tag lang gültig, womit ich heute schon wieder eine Fehlermeldung bekommen habe.
Man muss dann mit
Code: 
step ca provisioner update <admin> --x509-default-dur=8784h
noch die Dauer etwas hochsetzen und das Zertifikat erneut ausrollen. Hat mich noch eine halbe Stunde gekostet.


Wuchtbrumme schrieb:
das öffentliche Zertifikat von den beiden zu exportieren und dann im iPhone manuell hinzuzufügen (obwohl das ja gerade nicht der Sinn davon ist, wenn man ein Root-Zertifikat korrekt installiert).
Zum Vergrößern anklicken....
dem ist natürlich auch nicht so
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten