Androids K9 Mail nutzt noch TLS 1.0

Posted on 9. Mai 2018 by marius

Au man, man darf echt nicht nachsehen, was seine Programme so tun 🙁

K9-Mail

Das auf Android beliebte K9-Mail setzt auch gebrochene Krypto und nur als Beispiel erdachte Cipher!

2018-05-07 08:52:17 1fFa0M-0004M4-PW <= AAAAAAAAAAAAAAA H=********.dip0.t-ipconnect.de (XXXXX) [XXXXX] P=esmtpsa X=TLSv1:AES128-SHA:128 CV=no … id=1baxr95b3gdd6225t9ggj1yy.1525675936562@email.android.com

Das 146 MB große Paket enthält allen Anscheins nach nicht mal eine aktuelle SSL Implementierung. Schlimmer wäre es nur noch, wenn Sie das an Android outsourcen würden, aber wofür dann die 146 MB ? Im Programm ist nur eine „größere“ Grafik enthalten , der Rest ist pillepalle und ansonsten auch recht trivial von der Funktion her.

Für ein „Advanced Email for Android“ Programm echt enttäuschend 🙁

Mal sehen ob Sie antworten 😀

Webseite: https://k9mail.github.io/

VW Mailserver mit falschem TLS Zertifikat

Posted on 4. Mai 2018 by marius

Hallo Volkswagen IT, guggt Ihr mal hier :

Server: smtp.vw-rd.de
Connection converted to SSL
SSLVersion in use: TLSv1_2
Cipher in use: DHE-RSA-AES128-GCM-SHA256
Certificate 1 of 1 in chain: Cert VALIDATION ERROR(S): unable to get local issuer certificate; unable to verify the first certificate
This may help: What Is An Intermediate Certificate
So email is encrypted but the recipient domain is not verified
Cert Hostname DOES NOT VERIFY (smtp.vw-rd.de != L1074104.vt-security.de | DNS:L1074104.vt-security.de)
So email is encrypted but the host is not verified
cert not revoked by CRL
cert not revoked by OCSP
serialNumber=8c:ec:8e:f6:b1:b5:4d:49
subject= /C=de/L=Berlin/O=VOLKSWAGEN Retail/CN=L1074104.vt-security.de
issuer= /C=de/L=Berlin/O=VOLKSWAGEN Retail/CN=VOLKSWAGEN Retail VPN CA

Selbstsignierte Zertifikate auf öffentlichen Mailservern sind sowas von 2010, aber dann nicht mal das richtige Zertifikat benutzen, das geht ja mal gar nicht 😀

Arbeitsanweisung: ASAP beheben Leute!

Süddeutsche Zeitung & das TLSv1 Gate

Posted on 14. März 2018 by marius

Und wieder einmal schlägt das TLSv1 Problem zu, diesmal bei der Süddeutschen Zeitung. Dankt Fefe für den Tipp 😉

Das Testergebnis

CheckTLS Confidence Factor for „szdm.digitalesdesign@sz.de“: 100

MX Server	Pref	Answer	Connect	HELO	TLS	Cert	Secure	From	To
mshgw-mx01.msh.de [212.4.227.210]	50	OK (86ms)	OK (114ms)	OK (89ms)	OK (90ms)	OK (1,094ms)	OK (93ms)	OK (94ms)	OK (120ms)
mshgw-mx01.msh.de [212.4.227.209]	50	OK (86ms)	OK (88ms)	OK (86ms)	OK (90ms)	OK (860ms)	OK (96ms)	OK (92ms)	OK (95ms)
mshgw-mx01.msh.de [212.4.227.208]	50	OK (96ms)	OK (84ms)	OK (86ms)	OK (87ms)	OK (1,023ms)	OK (92ms)	OK (90ms)	OK (90ms)
mshgw-mx02.msh.de [212.4.227.212]	50	OK (90ms)	OK (93ms)	OK (90ms)	OK (89ms)	OK (1,024ms)	OK (91ms)	OK (91ms)	OK (95ms)
mshgw-mx02.msh.de [212.4.227.211]	50	OK (90ms)	OK (93ms)	OK (87ms)	OK (92ms)	OK (1,002ms)	OK (87ms)	OK (94ms)	OK (94ms)
mshgw-mx02.msh.de [212.4.227.213]	50	OK (88ms)	OK (87ms)	OK (91ms)	OK (87ms)	OK (1,069ms)	OK (98ms)	OK (91ms)	OK (90ms)
Average		100%	100%	100%	100%	100%	100%	100%	100%

Das Testergebnis via checktls.com ist an sich ganz ok, bis auf den kleinen, aber entscheidenen Hinweis, das die Verbindung nur mit TLS 1.0 abgesichert ist 🙂

Die Verbindung selbst wurde am 14. 3. 2018 um 11:45 Uhr getestet und liefert für alle Server das gleiche Ergebnis:

Trying TLS on mshgw-mx01.msh.de[212.4.227.210] (50):

seconds		test stage and result
[000.086]		Connected to server
[000.198]	<–	220 mshgw-mx07.msh.de ESMTP
[000.199]		We are allowed to connect
[000.200]	–>	EHLO checktls.com
[000.287]	<–	250-mshgw-mx07.msh.de 250-PIPELINING 250-SIZE 62914560 250-ETRN 250-STARTTLS 250-AUTH CRAM-MD5 DIGEST-MD5 LOGIN 250-AUTH=CRAM-MD5 DIGEST-MD5 LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN
[000.289]		We can use this server
[000.289]		TLS is an option on this server
[000.289]	–>	STARTTLS
[000.378]	<–	220 2.0.0 Ready to start TLS
[000.379]		STARTTLS command works on this server
[000.659]		Connection converted to SSL
		SSLVersion in use: TLSv1
		Cipher in use: DHE-RSA-AES256-SHA
		Certificate 1 of 3 in chain: Cert VALIDATED: ok
		Cert Hostname VERIFIED (mshgw-mx01.msh.de = .msh.de \| DNS:.msh.de \| DNS:msh.de)

Also ich werde der Süddeutschen Zeitung keine geheimen Daten schicken , ohne die nochmal mit PGP/GPG zu verschlüsseln und am besten gar nicht per Email, sondern gleich per POST mit einem DoubleLayerEncryption USBStick 😀

BSI zu TLSv1.0

Laut der technischen Richtlinie gelten TLS 1.0 und TLS 1.1 als unsicher und 
werden nicht mehr empfohlen.
...
Dieser Mindeststandard referenziert die technische Richtlinie TR-02102-2 und
fordert für die Bundesverwaltung den Einsatz von TLS 1.2 mit PFS.

ums mal ganz klar zu sagen :

Liebe Süddeutsche,

damit Eure Whistleblower auch in Zukunft noch Mail schicken, was sie zwar nicht sollten, aber das ist ein anderes Thema, wechselt doch mal die Mailserverinfrastutur aus, z.B. indem der Anbieter das Update von 2008 auf TLS 1.2 einspielt. Verschlüsselung auf dem Technikstand von 1999 einzusetzen , ist keine Lösung!

Marius Welt

Tag Archives: TLS