• 08621 - 9 88 30 88

Monatsarchiv April 2020

Voncubewerk

TLS1.3 AH10158: cannot perform post-handshake authentication Apache

Apache unter Debian 10 mit SSLVerifyClient require sorgt dafür, dass ein aktueller Firefox (74 – Stand Apr 2020) noch nicht automatisch einen post-Handshake für TLS 1.3 macht.

Lösung ist -> Firefox about:config

security.tls.enable_post_handshake_auth

Bugreports:

https://bugs.chromium.org/p/chromium/issues/detail?id=911653

https://bz.apache.org/bugzilla/show_bug.cgi?id=62975

https://stackoverflow.com/questions/53062504/apache-2-4-37-with-openssl-1-1-1-cannot-perform-post-handshake-authentication

Voncubewerk

Exchange autodiscovery mit Apple IOS 13 Mailclient

Damit Mailclients die richtigen Exchange-Kontoeinstellungen finden, gibt es AutoDiscovery von Microsoft, was eine XML-Konfigdatei an die Clients ausliefert.

Ein typisches Outlook klappert hier ein paar Methoden ab und ist dann zufrieden.

Primär:

https://<SMTP-address-domain>/autodiscover/autodiscover.xml

https://autodiscover.<smtp-address-domain>/autodiscover/autodiscover.xml

Jetzt muss man hier aber aufpassen, dass jeweils die SSL-Zertifikate auf dem Webserver, welcher die XML-Datei liefert, auch zur Anfrage des Clients passen. Für einen Kunden mit ein oder zwei Domains, kein Problem.

Probleme gibt es bei Hostern mit mehreren Kunden und DNS-Einträgen in der Form:

autodiscover.kundendomain1.de CNAME > discover.hoster.de

In diesem Fall fliegt einem das um die Ohren, da der Client mit autodiscover.kundendomain1.de spricht, der Hoster wohl aber ein SSL-Zertifikat für discover.hoster.de liefert.

Abhilfe schafft hier, discover.hoster.de nur auf HTTP lauschen zu lassen und dann einen Redirect auf eine SSL-Seite mit passendem Zertifikat zu machen.

Damit ist Outlook glücklich, präsentiert eine kurze Info dazu beim Einrichten und das wars.

Seit IOS Version 11, geht die HTTP-Umleitungsmethode nicht mehr mit dem integrierten Mailclient von IOS. IOS erwartet zwingend eine verschlüsselte Verbindung. Nachvollziehbar irgendwo.

Wie sieht ein TCPDUMP aus, bei einem IOS 13-Gerät (Stand April 2020):

15:42:28.131292 IP 192.168.123.81.52101 > 1.1.1.1.53: 26588+ A? kundendomain.de. (35)
15:42:28.133398 IP 192.168.123.81.53263 > 1.1.1.1.53: 30045+ A? autodiscover.kundendomain.de. (48)

IOS frägt hier den A-Record für kundendomain.de und autodiscover.kundendomain ab und läuft dann nach obigem Schema parallel los zu:

https://kundendomain.de/autodiscover/autodiscover.xml

https://autodiscover.kundendomain.de/autodiscover/autodiscover.xml

Wie bekommt man das jetzt als Hoster hin mit vielen Domains? Eigentlich gar nicht, da man für alle Domains die SSL-Zertifikate besitzen müsste.

Randinfo: Die oft erwähnten SRV-Records, sind IOS völlig egal und es erfolgt keine DNS-Anfrage nach diesen.

Quelle: https://docs.microsoft.com/de-de/exchange/architecture/client-access/autodiscover?view=exchserver-2019

Voncubewerk

Neue Besucheranschrift

Ab sofort sind wir in der Schulstraße 14 in Trostberg für Sie erreichbar.

Bitte beachten Sie die neue Anschrift.