Firefox 37 und Thunderbird 31.6.0 zicken wegen OCSP Fehlern

Heute Morgen waren einige meiner Seiten nicht mehr mit Firefox über HTTPS zu erreichen und auch Thunderbird meinte, dass er das Zertifikat nicht schlucken wolle – allerdings drückte er sich anders aus: Der Mailserver unterstütze die gewählte Authentifizierungsmethode nicht.

Als ich auf dem Mailserver direkt nachsah, meldete Dovecot beim Verbindungsaufbau mit Thunderbird:

dovecot: imap-login: Disconnected (no auth attempts in 2 secs): user=<>, rip=123.123.123.123, lip=12.12.12.12, TLS: SSL_read() failed: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate: SSL alert number 42, session=<TNfVw/XCDwBP+hWC>

In beiden Fällen handelte es sich um Zertifikate von StartSSL die von den Vorgängerversionen von Thunderbird und Firefox noch klaglos geschluckt wurden. Die Zertifikate sind gültig und andere Browser (Chrome, Rekonq) wie auch andere MUAs (KMail) haben das Problem auch nicht bzw. provozieren beim Dovecot keine derartigen Fehlermeldungen.

Für’s Erste habe ich nun in beiden Mozilla-Programmen die Überprüfung der Zertifikate über OCSP abgeschaltet, bis ich mehr über diesen Fehler herausgefunden habe … oder bis Mozillaprodukte die Zertifikate wieder fressen.

In Thunderbird geht das unter /Bearbeiten /Einstellungen /Erweitert /Zertifikate /Validierung und in Firefox findet man diese Funktion unter /Bearbeiten /Einstellungen /Erweitert /Zertifikate. In beiden Fällen jeweils den Haken bei der OCSP-Option rausnehmen. Schön ist das nicht.