Willkommen im User-Forum von mailbox.org
 

XMPP-Gajim Empfang von Bildern: [SSL: CERTIFICATE_VERIFY_FAILED]

9530859 hat dies geteilt, 6 Monaten her
erledigt

Hallo miteinander,

ich habe seit einiger Zeit das Problem, dass mir Bilder in einem Chatverlauf nicht über Gajim angezeigt werden. Die Error-Meldung lautet: Gajim: [SSL: CERTIFICATE_VERIFY_FAILED] ...

Was kann ich da tun? Ich habe schon ohne Erfolg versucht das SwissSign AG Zertifikat manuell auf meinem Linux Mint-PC zu installieren. Das hat aber keine Besserung gebracht.


Wer weiß Rat?

Vielen Dank, thk_ms

Kommentare (11)

Foto
1

Ich habe das Problem heute auch zum ersten mal gesehen. Im Chat-Verlauf ist ein Link zu sehen, z.B:


aesgcm://xmpp-share.mailbox.org/upload/...


Beim draufklicken erscheint ein Popup mit der Fehlermeldung. Eine DuckDuckGo-Recherche nach dem Problem hat keine hilfreichen Resultate geliefert.

Edit: Auf Android mit Conversations wird das Bild angezeigt.

Edit2: Ich hab Gajim 1.0.1 auf Xubuntu 18.04

Foto
1

Möglicherweise ein anderes Problem!? Aber, verwendest du OMEMO? Welchen Client verwendet der Sender? Conversations? Google liefert u.a. https://xmpp.org/extensions/inbox/omemo-media-sharing.html

Vielleicht wird da eine Erweiterung verwendet, die noch nicht von allen Clients (voll) unterstützt wird? Welche Version vom Omemo Plugin hast du installiert?

Oder daran: https://dev.gajim.org/gajim/gajim-plugins/-/commit/7e77801aa4996f6afdd70d190932a9ae9c5ec82a ?

Oder vielleicht brauchst du noch: https://dev.gajim.org/gajim/gajim-plugins/-/wikis/UrlImagePreviewPlugin

Foto
1

Danke für die Hinweise!


In der Unterhaltung wurde OMEMO verwendet. Ich habe OMEMO-Plugin 2.6.3. Der Sender hat das Bild mit Conversations versendet.

Gut möglich, dass es sich dabei um das 12-byte-IV-Problem handelt. Tatsächlich weiß ich nicht, ob das Problem neu ist, weil ich nicht sehr oft Bilder/Attachments über XMPP/OMEMO versende empfange.


Evtl. versuche ich mal, eine aktuellere Gajim-Version zu installieren. Die Resultate werde ich dann hier posten.

Foto
1

In Gajim 1.1.3 mit OMEMO 2.6.30 besteht immer noch das gleiche Problem.


Die Fehlermeldung "[SSL: CERTIFICARE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1076)" deutet ja doch auf ein Zertifikatsproblem hin.

Foto
1

Mit dem Zertifikat (bzw. der Chain?) von xmpp-share.mailbox.org scheint tatsächlich etwas nicht zu stimmen. Openssl meldet "Verification error: unable to verify the first certificate".

Foto
1

Offenbar fehlt das "SwissSign Server Gold CA 2014 - G22" Zertifikat.

Unter Arch GNU/Linux hat folgendes geholfen:

- SwissSign Server Gold CA 2014 - G22 in eine Datei kopieren (z.b cert_swiss.crt)

- trust anchor --store ~/cert_swiss.crt

Foto
1

Auch bei mir sagt OpenSSL: " Verify return code: 21 (unable to verify the first certificate)"

Qualys SSL Server Test meldet, "This server's certificate chain is incomplete. Grade capped to B."

https://www.ssllabs.com/ssltest/analyze.html?d=xmpp-share.mailbox.org

Der SSL-Server auf xmpp-share.mailbox.org liefert also nicht die komplette Certificate Chain mit dem Intermediate-Zertifikat "SwissSign Server Gold CA 2014 - G22" aus, deshalb wird es von OpenSSL auch nicht akzeptiert (und auch nicht von Gajim).


Das "SwissSign Gold CA - G2"-Root-Zertifikat, das das "SwissSign Server Gold CA 2014 - G22" signiert hat, ist auch bei mir in Ubuntu enthalten: /usr/share/ca-certificates/mozilla/SwissSign_Gold_CA_-_G2.crt


Ich vermute also, dass OpenSSL und Gajim dem https-server vertrauen würden, falls der Server die Intermediate CA mitliefern würde.

Der Firefox vertraut https://xmpp-share.mailbox.org/ übrigens, weil der das Intermediate in seinem eigenen Trust-Store hat.


Ich werde jetzt erstmal die Intermediate CA nicht manuell installieren, sondern hoffe, dass Heinlein, den Server bald so konfiguriert, dass er die komplette Certificate-Chain ausliefert.

Foto
2

Danke für den Hinweis, da ist wohl bei einem Zertifikats-Update was untergegangen. Schauen wir uns umgehend morgen früh an.

Foto
2

Hallo,

vielen Dank für den Hinweis. Wir haben uns die Zertifikate nochmal angeschaut und den Fehler gefunden und behoben. Es sollte jetzt wieder bei allen funktionieren.

Foto
2

Bei mir funktioniert es jetzt. Vielen Dank!

Foto
1

Hallo,

ja, auch bei mir klappt es wieder. Schade, dass mir der Support erst nicht helfen konnte.


Vielen Dank, thk_ms