Willkommen im User-Forum von mailbox.org
 

XMPP Zertifikatsproblem bei Server-zu-Server TLS-Verbindungen (eigene Domain)

1101602 hat dies geteilt, 2 Jahren her
bekannt

Hallo


Ich kann mit den Benutzern verschiedener XMPP-Server (zBsp. trashserver.net und tchncs.de) nicht mehr kommunizieren, da diese Anbieter ungültige Zertifikate ablehnen. Ich verwende den XMPP-Dienst mit eigener Domain.


https://thomas-leister.de/sichere-xmpp-s2s-verschluesselung/

https://blog.tchncs.de/6-jabber-serverexceptions-dropped


Ich erhalte folgende Fehlermeldung:

Server-to-server connection failed: Connecting failed: Network is unreachable


Wie kann dieses Problem gelöst werden? Ist dies überhaupt möglich?


LG

Beste Antwort
Foto

Ich konnte das Problem mit dem XMPP-Hosting des Anbieters conversations.im lösen (https://account.conversations.im/domain/). Dieserbietet die Möglichkeit ein Zertifikat im Backend hochzuladen. Es wird sogar erklärt, wie man ein Zertifikat mittels Let's Enrypt erzeugen kann.

Kommentare (7)

Foto
2

Bei der Verwendung unseres Jabber-Servers mit einer eigenen Domain werden für diese Domain selbsignierte Zertifikate für die TLS-Verschlüsselung Client-2-Server und Server-2-Server verwendet. Einige Jabber Server (wie die oben genannten) akzeptieren keine selbsignierten Zertifikate, daher ist eine Kommunikation mit diesen Servern nicht möglich, wenn man unseren Jabber-Server mit eigener Domain verwendet.

Sie können Ihre mailbox.org Jabber ID für die Kommunikation mit diesen Jabber-Nutzern verwenden.

Foto
1

Komisch, vorhin stand hier ein Kommentar von Herrn Heinlein. Egal, vielen Dank für die Antwort!


Wird es in Zukunft die Möglichkeit geben, gültige Zertifikate von Let's Encrypt für die persönlichen Domains einzusetzen? Ist dies technisch überhaupt möglich, dass Kunden mit eigenen Domains auch eigene Zertifikate hinzufügen könnten?


Ansonsten ist die Möglichkeit der eigenen Domain für die JID leider hinfällig.

Foto
2

Die Antwort wurde nach genauerer Analyse des Problems korrigiert - sorry, es hat bei uns 10-15min gedauert, um die Ursache des Problems zu verstehen. Den FAQ Artikel habe ich auch aktualisiert.

Let's Encrypt können wir für externe Jabber Domains leider nicht einsetzen, da wir dafür den DNS-Server oder den Webserver der Domain kontrollieren müssten. Wir müssen die Let's Encrypt Authorisierungstokens im DNS oder auf dem Webserver automatisiert hinterlegen, um nachzuweisen, dass wir für die Doamin verantwortlich sind und berechtigt sind, für diese Domain ein SSL-Zertifikat zu erhalten. Funktioniert nicht.

Foto
1

Dachte mir schon, dass wir hier vor einem unlösbaren Problem stehen. Besten Dank für die schnelle Antwort und den Support!

Foto
4

Ich konnte das Problem mit dem XMPP-Hosting des Anbieters conversations.im lösen (https://account.conversations.im/domain/). Dieserbietet die Möglichkeit ein Zertifikat im Backend hochzuladen. Es wird sogar erklärt, wie man ein Zertifikat mittels Let's Enrypt erzeugen kann.

Foto
2

Wenn das Hochladen per API möglich ist, wäre es super zu automatisieren.

Foto
Foto
1

Guten Tag Herr Heinlein


Ich denke, bei mir handelt es sich um ein anderes Problem. Dieses hat sich vor Monaten bemerkbar gemacht. Die Server trashserver.net und tchncs.de akzeptieren nur noch gültige Zertifikate. Beim Mailboxdienst mit eigener Domain wird aber ein selbstsigniertes "ungültiges" Zertifikat verwendet, welches abgewiesen wird. Der Serverbetreiber hat mich am 13.01 wie folgt informiert:


Hallo XY

beim Durchsehen meines XMPP Server Logs von trashserver.net ist mir aufgefallen, dass zu Deinem XMPP-Server unter meinedomain.tld keine sichere Verbindung mehr hergestellt werden kann. Ich habe meinen Server gestern auf verpflichtende Verifizierung anderer Server-Zertifikate umgestellt. Diesem Test nach: https://xmpp.net/result.php?domain=meinedomain.tld&type=server

... ist das Problem ein selbst signiertes Zertifikat.

Kannst Du da was machen und evtl. ein offizielles, gültiges Zertifikat, z.B. von Let's Encrypt dafür nutzen?


Wird es in Zukunft die Möglichkeit geben, gültige Zertifikate von Let's Encrypt für die persönlichen Domains einzusetzen? Ist dies technisch überhaupt möglich?