Wie es ausschaut, hat bei der Telekom jemand vergessen, ein Zertifikat, welches zum 30. Januar 2022 abläuft, zu verlängern. Das führt dazu, dass Benutzer seit heute Nacht wohl nicht mehr (fehlerfrei) auf ihre Mails bei T-Online zugreifen können, weil ein Zertifikatsfehler gemeldet wird. Ein Blog-Leser hat mich eben über den Sachverhalt informiert – es gibt aber bereits einige Forenmeldungen bei Telekom hilft dazu. Hier ein kurzer Überblick, was Sache ist. Ergänzung: Der Fehler wurde wohl inzwischen behoben. Erklärung der Telekom hinzugefügt.
Eine Leser-Information
Es war eine kurze Mail von Blog-Leser Jens H., die ich am 30. Januar 2022 um 8:02 Uhr im Posteingang vorfand – zum Glück benutze ich keine T-Online-Mailadresse. Jens schrieb mir (danke für den Hinweis):
Guten Morgen Günter,
da hat die T-Online der Telekom wohl vergessen, ihr Zertifikat zu erneuern. Jetzt hängen alle (meine privaten) T-Online-E-Mail-Konten und melden Zertifikatsfehler.
Schönen Sonntag noch.
Also etwas, was man nicht braucht. Jens hat mir noch folgenden Screenshot mit der Fehlermeldung im Mail-Clienten geschickt, der auf ein Problem mit dem verwendeten Zertifikat hinweist.
Das könnte aber auch noch an einem falschen Datum oder an einer falschen Uhrzeit des Clients liegen. Jens hat sich dann die Details des Zertifikats anzeigen lassen und bekam folgende Daten zu sehen:
Das für IMAP-Zugriffe verwendete t-online.de-Zertifikat ist gemäß obigem Screenshot zum 30.01.2022 abgelaufen. Damit scheidet eine fehlerhafte Zeit am Client aus. Nachfolgender Screenshot zeigt noch den Zertifikatspfad.
Bestätigungen im Telekom-Forum
Ich habe dann mal kurz im Internet geschaut, ob es weitere Meldungen bezüglich des Zertifikatsfehlers gibt. Das abgelaufene Zertifikat wird beispielsweise in diesem Forenpost auf Telekom hilft gemeldet.
Outlook secureimap Zertifikat abgelaufen
Hallo,
ich seit heute nicht mehr über Outlook (Laptop und Smartphone) auf meinen t-online Account zugreifen, da eine Fehlermeldung mit einem abgelaufenen Zertifikat von secureimap bzw. TeleSec ServerPass Class 2 erscheint. Könntet ihr mir hier bitte weiterhelfen?
Vielen Dank!
Die Beobachtung wird bestätigt und ein Forenmitglied weist darauf hin, dass der Fehler bei der Telekom liegt. In einer Antwort schreibt jemand:
Das Zertifikat ist heute Nacht 00:59:59 abgelaufen. Da hat leider jemand vergessen es rechtzeitig zu erneuern…
was passiert ist. Wenn ich es richtig sehe, werden Mails aber noch abgeholt und versendet, nur tritt ein Fehler auf. Ein weiterer Forenbeitrag bezieht sich auf den Zugriff vom iPhone, wo der Fehler logischerweise ebenfalls auftritt. Jetzt muss jemand bei der Telekom von der Technik das Zertifikat erneuern – das könnte am Sonntag aber dauern bzw. schwierig werden. In diesem Post heißt es in einem anderen Thread:
Hallo zusammen,
eine „schnelle“ Lösung (zu heute) wird es vermutlich eher nicht geben. Befürchte zumindest, die Kollegen sind am Sonntag nicht da.
Im Regelfall kümmern sich die Kollegen aber gleich morgen darum… zur Sicherheit gebe ich es intern aber auch noch einmal weiter.
Viele Grüße und dennoch noch einen schönen Sonntag
Oliver I.
Scheint ein Telekom-Mitarbeiter in der Kundenbetreuung zu sein, der auf die praktischen Probleme hinweist. Es wird der Mitarbeiter gebraucht, der für die Zertifikatserneuerung zuständig ist. Und der ist im Wochenende. Neuerungen will die Telekom in diesem Sammelthread veröffentlichen.
In diesem Thread findet man auch den Hinweis, dass die Erneuerung des Zertifikats nicht „vergessen“ wurde, denn das Nachfolgezertifikat sei am 27.1.2022 eingespielt worden. Irgend etwas ist aber wohl bei dieser Erneuerung fehlgeschlagen – mit dem Thema Let’s Encrypt zieht am 28.1.2022 bestimmte Zertifikate zurück hat das Ganze aber nichts zu tun, das die Telekom die Zertifikate selbst ausstellen kann. Für Mitleser: Irgendwann wird jemand die Zertifikatskette bei denen reparieren. Mails dürften in der Zwischenzeit keine verloren gehen – es tritt halt nur der Fehler beim IMAP-Zugriff auf die Postfächer auf.
Problem gelöst
Ergänzung: Beim Schreiben des Beitrags fehlte die Information noch, aber inzwischen scheint die Telekom die Problematik behoben zu haben. Auf Telekom hilft heißt es seit ca. 10:40 Uhr hier:
Die Kollegen sind da und haben den Fehler beseitigen können. Es sollte nun keine Meldung mehr erscheinen.
Und auf Twitter hat mir das Team von Telekom hilft in nachfolgenden Post geantwortet (danke dafür) und eine Erklärung zukommen lassen.
Blog-Leser Bolko hatte es einige Minuten früher hier im Blog in diesem Kommentar gepostet – danke dafür. Wenn die Erklärung stimmt, dauerte die Verteilung des Zertifikats auf die jeweiligen Server sehr lange bzw. es könnte bei einzelnen Servern mit der Übernahme gehakt haben. Das würde auch erklären, warum einige Leute keine Probleme hatten und andere in sporadisch auftretende Zertifikatswarnungen liefen. Es kam am 30.1.2022 darauf an, auf welchen Telekom-Server die Nutzer vom Load-Balancer geschoben wurden. War es ein aktualisierter Server, konnten die Mails ohne Probleme abgerufen werden. Bei einem nicht aktualisierten Server kam die Zertifikatswarnung. Danke an alle Leser, die mit Analysen mitgeholfen haben.
Betrifft uns in stuttgart auch-was tun?abwarten?
Abwarten, mehr kannst Du nicht tun. Stimmt meine Aussage, dass sich Mails trotzdem abrufen und verschicken lassen? Ich kann es mangels T-Online nicht testen.
empfangen und senden geht nur über das Webportal.
Schön doof
Importier das Zertifikat doch manuell in Windows 10 oder Outlook:
https://corporate-pki.telekom.de/downloads.html
„T-TeleSec GlobalRoot Class 2“
Ablaufdatum 01.20.2033
Bei mir klappt der Zugriff (empfangen und senden von E-Mails) sowohl über IMAP als auch mit der Android-App ohne Probleme.
stimmt geht wieder ;)
Bei mir noch nicht
Siehe meine am Textende nachträglich angefügte Erklärung.
Bei mir funktioniert es aktuell, sowohl per securepop als auch über imap, scheint also gefixt zu sein.
Danke für den Hinweis.
Habe es im Artikel am Ende nachgetragen zu haben – so zwischen 10:00 Uhr und 10:40 Uhr scheint die Technik den Fehler gefunden und behoben zu haben. Falls es noch hakt, ggf. etwas warten – vielleicht braucht die Zertifikatsverteilung noch etwas Zeit.
Welches Betriebssystem und welchen Mailclient oder Browser betrifft das?
Bei mir finde ich keine Probleme.
Zertifikate im Windows 7 kann man mit certmgr.msc anzeigen lassen.
Das Zertifikat „T-TeleSec GlobalRoot Class 2“ unterhalb der Rubrik „Vertrauenswürdige Stammzertifizierungsstellen“ Ablaufdatum 02.10.2033
Im Chromium unter Einstellungen, Sicherheit und Datenschutzeinstellungen, Sicherheit, Zertifikate verwalten, Reiter „Vertrauenswürdige Stammzertifizierungsstellen“, Zertifikat „T-TeleSec GlobalRoot Class 2“, Ablaufdatum 02.10.2033.
Im Firefox, Einstellungen, Datenschutz und Sicherheit, Zertifikate anzeigen, T-Systems, Zertifikat „T-TeleSec GlobalRoot Class 2“, Ablaufdatum 01.10.2033.
In „The Bat“: Adressbuch öffnen, Ansicht, Zertifikatsdatenbanken anhaken, „Trustet Root CA“ anklicken, In das Suchfeld Telesec eingeben, Zertifikat „T-TeleSec GlobalRoot Class 2“ doppelklicken, Reiter Zertifikate, Ablaufdatum 01.10.2033
Senden und Abholen von emails funktioniert hier mit The Bat in Windows 7 mit Telekom-Emailkonto.
Aktuelle Zertifikate der Telekom kann man sch dort runterladen und dann manuell importieren:
https://corporate-pki.telekom.de/downloads.html
„T-TeleSec GlobalRoot Class 2“, gültig von 01.10.2008 bis 01.10.2033
Soweit ich das bisher verstehe, liegt der Fehler an der Kombination von Microsoft Outlook und Microsoft Windows 10.
Ist das wirklich ein Problem der Telekom?
Dann müsste der Fehler doch auch mit The Bat auf Windows 7 auftreten, aber da ist alles ok.
In meinen Zertifikatspeichern im Windows 7, im Firefox, im Chromum und im The Bat ist das Ablaufdatum Oktober 2033.
Das immer noch gültige Telekom-Zertifikat existiert laut Telekom-Zertfkatdownloadwebseite schon seit 2008 und ist bis 2033 gültig.
Also alles ok, außer bei Windows 10 und Outlook.
Ich hatte einige Forenpost bei Telekom hilft verlinkt – da schlagen auch iPhone-Nutzer auf – die Windows 10/Outlook-Theorie kann nicht stimmen. Aber ich kann es mangels T-Online wohl nicht prüfen.
Es gibt Leute, die schreiben, dass die Mail-Abruf mal funktionieren, mal nicht. Jemand hat sein Konto unter iOS gelöscht und neu angelegt, dann war der Fehler weg – um dann an einem weiteren Client aufzutauchen. Aktuell ist es recht undurchsichtig – zumal es ja im Text heißt, dass das Nachfolgezertifikat am 27.1.2022 installiert worden sei. Irgend etwas bewirkt, dass die Zertifikatskette wohl nicht immer sauber gelesen werden kann – möglicherweise was im Hinblick auf CDN?
Ergänzung: Siehe mein Hinweis auf den Fix am Artikelende.
Wer t-online nutzt, hat die Kontrolle über sein Leben verloren :)
Jou, Google-Mail, Beschde!
Die Telekom erklärt das Problem auf Seite 5:
Das neue Zertifikat wurde bereits am 27.01.2022 verteilt, aber ein paar Server haben dieses neue Zertifikat nicht angenommen. Es sind nicht alle Server betroffen.
https://telekomhilft.telekom.de/t5/E-Mail-Programme/secureimap-Problem-Zertifikatfehler/td-p/5548217/page/5#answers
Es liegt also nicht an den öffentlichen Zertifikaten im Windows oder Outlook oder in den Browsern etc, sondern an den internen Zertifikaten auf den Servern.
Die meisten Server wurden mit neuen Zertfikaten versehen, aber bei ein paar Servern hatte dieses Zertifikate-Update am 27.01.2022 nicht funktioniert.
Das Problem liegt also doch nicht an Windows 10 oder Outlook.
Die Telekom sollte also mal eine Verify-Funktion einbauen, um nachträglich zu kontrollieren, ob die verteilten Zertifikate auch wirklich auf sämtlichen Servern angekommen und und aktiv sind.
Danke für die Ergänzung. Ich bin aber jetzt erst mal weg – ist schließlich Sonntag ;-).
Das neue Zertifikat läuft am 22.01.2023 ab.
Dieses Datum bzw ein paar Tage vorher könnt ihr euch schonmal rot im Kalender markieren, weil das selbe Problem dann wieder auftreten kann.
In den Jahren 2018 und 2020 trat das Problem auch auf.
Vor Allem wäre es mal nötig das t-online endlich mal allgemeine Standards wir SPF oA unterstützen würde.
https://www.spf-record.de/spf-lookup/t-online.de
Danke für diesen Post! Hatte schon befürchtet, dass mein System (Monterey) auf eine Fake-Seite hereingefallen ist. Und (in Beantwortung eines der Kommentare hier) nein, wer einen Telekom-Account hat, muss deshalb noch nicht die Kontrolle über sein Leben verloren haben. Man muss leider bloß mit mancherlei dummen „Zufällen“ rechnen, die man zunächst nicht richtig einordnen kann. Und mit Schnarchnasen, die ihren Job offenbar nicht zuverlässig machen können.
Den Kunden zuzumuten, ein abgelaufenes Sicherheitszertifikat zu ignorieren, um Zugriff auf den eigenen Account zu bekommen, ist schon ein dicker Hund, wenn man sich mal überlegt, wieviel die Telekom an uns verdient…
Wollte eigentlich nur nach Mitternacht noch eine dringende Mail in die Staaten schicken… immerhin hat es heute Mittag dann wieder alles funktioniert. Aber es hat mehr als vier Stunden gedauert, bis im Netz der Bug überhaupt erst zur Kenntnis genommen wurde. Und hier muss ich ein dickes Kudo an Herrn Born verteilen: nicht etwa „die Telekom“ selbst (was eigentlich selbstverständlich gewesen wäre), sondern er war der erste, der mir die Sorgen genommen hat, dass eventuell mein System kompromittiert wurde. Danke!
Ein seltsames Phänomen ist bei mir (uns) sowohl im Thunderbird als auch auf der Webseite aufgetreten:
Sämtliche archivierten Mails der vergangenen Jahre sind nicht mehr vorhanden, nur die archivierten Mails aus 2022. Die Ordner der vergangenen Jahre, z.B. 2021, 2020, usw. sind zwar vorhanden – aber leer. Gestern zuletzt im Thunderbird waren alle Archive noch vorhanden. Gott sei Dank gibt es ein Backup ..
Hat jemand ähnliche Erfahrung ?
Bei mir ist in TB alles da, ich rufe allerdings alle Mails per SecurePOP ab und habe so alle Mails lokal (derzeit rund 20 GB, bin zu faul aufzuräumen).
Sehe bei meinem Email-Aufruf (wie schon früher) auf meinem iPhone den Hinweis: „Am 1.10.20 aktualisiert
Accoutfehler: Exchange t-online.“
(und bei Klick auf „Details“)
„E-mails können nicht empfangen werden
Die Verbindung mit dem Server ist fehlgeschlagen“
Test-Email von meinem iPhone kommt allerdings auf meinem Mac an , ohne dass sie auf meinem iPhone als „gesendet“ angezeigt wird an ???
Sehr mystisch !!! Bin (mit 81) als mit allen Telekom-Dienstleistungen ausgestatteter Nutzer zu sehr IT-Laie, um mir diese Phänomene erklären zu können …
Ein bisschen Aufklärung wäre nett …
Einfach abwarten, Telekom wird das Problem sicher bald lösen. Heute ist Wochenende.
Höttges verdient 9,1MIO pro Jahr und es wäre ein Armutszeugnis für den Hightechkonzern Telekom, wenn die das Problem nicht am Sonntag hätten lösen können.
War bei mir heute morgen auch so.
Senden und empfangen geht aber. Mal sehen was am 31.01.2022, also morgen los ist.
Wie auch oben von @Bloko geschrieben, trat es auch schon vorher auf. Ich erinnere mich auch daran dunkel.
Mal sehen, was morgen passiert. Ich habe jetzt nicht die Zertifikate überprüft, ob diese schon neu sind.
Das mit den Zertifikaten tritt bei vielen Unternehmen auf. Datev steht da ganz oben auf der Liste, die das auch regelmäßig vergessen.
Tja und wie man es als Kunde erwarten kann auch bereits am Sonntag gelöst ;-P
anders als so andere Saftläden der Telekommunikationsbranche eben!
/edit/ Fehler können immer passieren sind auch nur Menschen! Wer ohne Schuld ist werfe den ersten Stein!
Wenn das aber sogar Sonntags schnell behoben wird ist alles in Butter.
Wir benommen hier von DigiCert nur noch für ein Jahr und ein paar zerquetschte gültige Zertifikate. Inzwischen habe ich die Verteilung unter Linux und Windows soweit automatisiert, daß es nur noch wenige Systeme (z.B. Firewall, Loadbalancer, WLAN-Controller) gibt, bei denen ein automatischer Zertifikatstausch so umständlich zu realisieren ist, daß ich es lieber über die GUI mache.
Die Telekom hatte das Problem ab ca. 10 Uhr im Griff – also will ich mich nicht beschweren.