Probleme mit IOS 10.1

german

#1

Hallo zusammen !

Ich habe hier bei uns Zarafa installiert und nach dem Update von IOS (iphone) auf 10.1 Probleme das die Serveridentät nicht mehr überprüft werden kann.
Ich habe als erstes mit unter https:/[öffentliche IP-Adresse]:443 auf Firefox aufgerufen und das Zertifikat bestätigt.
Dann das Zertifikat unter Firfox-Einstellung-Erweitert-Zertifkate exportiert und als Mailanhang in das Iphone (über eine seperate Mailadresse) geschickt.
Dann die Mail aufgerufen und das Zertifikat geöffnet und installiert.

Das Iphone zeigt mir auch unter Allgemein-Zertifikatsvertrauenseinstellung das von mir installierte Zertifikat unter Root an.

Wenn ich aber dann versuche ein Exchangekonto einzurichten gibt das Iphone mir die Fehlermeldung Identität nicht verfizierbar an und bricht ab…

Hat jemand auch solche Probleme ?

In einem anderen Forum (DAVID) habe ich folgenden Artikel gefunden:
http://www.david-forum.de/index.php?thread/12065-iphone-update-auf-ios-10-und-activesync-probleme/&pageNo=1

Wie stelle ich das unter UCS ein ??

Gruss Rainer !


#2

Hallo Rainer,

sprechen wir hier über Z-Push in Verbindung mit Zarafa/Kopano, oder einer anderen Lösung?

Zumindest für Z-Push passiert die Cipher Configuration auf Ebene des Webservers. Die Variablennamen für die Univention Config Registry kannst du aus /etc/univention/templates/files/etc/apache2/mods-available/ssl.conf auslesen.

PS: ich hatte mich hierzu einmal bei unserem Support kundig gemacht und da lagen zumindest am Montag zu Z-Push noch keine ähnlichen Meldungen vor, daher würde ich eigentlich davon ausgehen das die von Univention per Default gesetzten Cipher einen Sync zulassen sollten.


#3

Wenn ich auf dem neuen IPhone mit IOS 10.1 einen Exchange Account anlegen möchte zeigt er mir das die Serveridentität nicht verifziert werden konnte.
Das SSL Zertifikat habe ich vorher per Mailanhang geschickt und installiert und freigegen/bestätigt. ( wird auch unter Allgemein anzeigt )

Mein anderes IPhone mit IOS 10.0.2 funktioniert tadellos !

Gruss Rainer !

Aus dem DAVID Forum:

[code]das Problem liegt an alten Verschlüsselungstypen, und lässt sich durch das Anlegen einer Konfigurationsdatei lösen:

davidtls.ini in c:\windows\syswow64 mit folgendem Inhalt erstellen:

[Settings]
CipherSuite=HIGH !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS
SSLv3=no
TLS10=no
TLS11=yes
TLS12=yes
ServerCipherOrder=no

Anschließend die Webbox und den Servicelayer neu starten, danach klappt es auch mit dem Iphone und iOS10.[/code]

Meine Config: /apache2/mods…/ssl.conf:

[code]
Listen 443

Pseudo Random Number Generator (PRNG):

Configure one or more sources to seed the PRNG of the SSL library.

The seed data should be of good random quality.

WARNING! On some platforms /dev/random blocks if not enough entropy

is available. This means you then cannot use the /dev/random device

because it would lead to very long connection times (as long as

it requires to make more entropy available). But usually those

platforms additionally provide a /dev/urandom device which doesn’t

block. So, if available, use this one instead. Read the mod_ssl User

Manual for more details.

SSLRandomSeed startup builtin
SSLRandomSeed startup file:/dev/urandom 512
SSLRandomSeed connect builtin
SSLRandomSeed connect file:/dev/urandom 512

SSL Global Context

All SSL configuration in this context applies both to

the main server and all SSL-enabled virtual hosts.

Some MIME-types for downloading Certificates and CRLs

AddType application/x-x509-ca-cert .crt
AddType application/x-pkcs7-crl .crl

Pass Phrase Dialog:

Configure the pass phrase gathering process.

The filtering dialog program (`builtin’ is a internal

terminal dialog) has to provide the pass phrase on stdout.

SSLPassPhraseDialog builtin

Inter-Process Session Cache:

Configure the SSL Session Cache: First the mechanism

to use and second the expiring timeout (in seconds).

#SSLSessionCache dbm:/var/run/apache2/ssl_scache
SSLSessionCache shmcb:/var/run/apache2/ssl_scache(512000)
SSLSessionCacheTimeout 300

Semaphore:

Configure the path to the mutual exclusion semaphore the

SSL engine uses internally for inter-process synchronization.

SSLMutex file:/var/run/apache2/ssl_mutex

By default Apache supports TLS 1.0, 1.1 and 1.2

If you want to enable the insecure legacy protocol SSL3, use apache2/ssl/v3=true

To only allow TLS 1.1 and TLS 1.2, use apache/ssl/tlsv11=true

To only allow TLS 1.2, use apache/ssl/tlsv12=true

@!@
protocol = ‘SSLProtocol all -SSLv2 -SSLv3’
if configRegistry.is_true(‘apache2/ssl/v3’, default=False):
protocol = ‘SSLProtocol all -SSLv2 +SSLv3’
if configRegistry.is_true(‘apache2/ssl/tlsv11’, default=False):
protocol = ‘SSLProtocol -all +TLSv1.1 +TLSv1.2’
if configRegistry.is_true(‘apache2/ssl/tlsv12’, default=False):
protocol = ‘SSLProtocol -all +TLSv1.2’
print protocol
@!@

Enable compression on the SSL level. Warning: Enabling compression causes security issues in most setups (the so called CRIME attack).

@!@
if configRegistry.is_true(‘apache2/ssl/compression’, default=False):
print ‘SSLCompression on’
else:
print ‘SSLCompression off’
@!@

Server and client perform a handshake where they negotiate the ciphers to be used. By default the

ciphers proposed by the client are used. If this option is enabled, the ciphers chosen by the

server are used instead.

@!@
if configRegistry.is_true(‘apache2/ssl/honorcipherorder’, default=False):
print ‘SSLHonorCipherOrder on’
else:
print ‘SSLHonorCipherOrder off’
@!@

List the ciphers offered by Apache during the SSL handshake. The available options

can be found at http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslciphersuite

@!@
print ‘SSLCipherSuite %s’ % configRegistry.get(‘apache2/ssl/ciphersuite’, ‘HIGH:MEDIUM:!aNULL:!MD5:!RC4’)
@!@

@!@
if configRegistry.is_true(“apache2/force_https”):
print ‘RewriteEngine on’
print ‘RewriteCond %{HTTPS} off’
print ‘RewriteCond %{REQUEST_URI} !=/server-status’
print ‘RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R=301,L]’
print
@!@
[/code]


#4

Ach so …

UNIVENTION, neustes Update
ZARAFA Core,Z-Push und WebAPP über UCS-App installiert und auf die neuste Version geupdated


#5

Ich kann doch im Univention Configuration Registry
den Wert von:

apache2/ssl/tlsv11
apache2/ssl/tlsv12

setzen, damit nur noch TLS 1.1 und 1.2 unterstützt werden ?

Welchen Wert muß ich da setzen ( “TRUE” “1”) ?

Das war doch glaube ich das Thema im DAVID Forum ?


#6

Mit neuen UCS-Versionen muß man eigentlich nichts weiter an apache2/ssl/tls* drehen. Es sei denn, man macht mutwillig SSLv3 an.
Das sagen zumindest die Erklärungstexte:

[code]apache2/ssl/tlsv11:
If this option is enabled, only TLS 1.1 and TLS 1.2 is supported in Apache. If the variable is unset and no further apache2/ssl/* variable is set, TLS 1.0 to TLS 1.2 are supported.

apache2/ssl/tlsv12:
If this option is enabled, only TLS 1.2 is supported in Apache. If the variable is unset and no further apache2/ssl/* variable is set, TLS 1.0 to TLS 1.2 are supported.

apache2/ssl/v3:
Enables the insecure protocol SSL 3.0. If the variable is unset, SSL 3.0 is disabled. The use of SSL 3.0 is discouraged.
[/code]

Ansonsten gilt, dass der Wert “true” etwas explizit aktiviert.

Für die Ciphersuite gibt es auch eine UCR-Variable. Hier meine modifizierte Variante. Die aus dem David-Forum ist anders.

apache2/ssl/ciphersuite: kEECDH+ECDSA:kEECDH:kEDH:HIGH:+SHA:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!DSS:!PSK:!SRP:!kECDH:!CAMELLIA:!RC4:!EDH This configures the cryptopgraphic algorithms which are offered to clients during a SSL handshake. The format is described at <http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslciphersuite>. If the variable is unset, 'HIGH:MEDIUM:!aNULL:!MD5:!RC4' is used.

hth,
Dirk


#7

Ich habe gerade auf dem Iphone die APP von Microsoft - > Outlook Connector installiert …
und siehe da.

Es klappt !

Nur eben nicht über die interne Mail Anwendung des IPhones !


#8

[quote=“ramsoft”]Ich habe gerade auf dem Iphone die APP von Microsoft - > Outlook Connector installiert …
[/quote]

Das war hoffentlich kein produktives Konto?

Quelle: acompli.com/privacy-policy/

Für Office365 mags ja noch akzeptabel sein, da sind die Daten eh schon weg. Aber bei einem eigenen System würde ich dieses “Outlook” nie nehmen.


#9

Na ja …
produktiv schon !

Aber was soll ich machen ?

Es liegt doch scheinbar am IOS ?
sonst hätte doch die Outlook APP die gleichen Probleme oder ?


#10

Ich habe gerade mal mein Ipad auf 10.1.1 aktualisiert. Es funktionieren noch alle EAS-Konten, darunter auch eins auf Zarafa und ein nach dem Updates eingerichtetes Konto auf einem Kopano-Server.
Allerdings haben wir bei diesen Systemen Zertifikate denen Apple zumindest im Moment noch vertraut.

Andere scheinen aber ähnliche Probleme zu haben: ios 10 with self-signed certificate in MS Exchange.


#11

Hallo,

ich habe ebenfalls den Kopano Server mit den aktuellen Updates. Mit IOS10.3 kann ich mich nicht verbinden, dem Zertifikat wird nicht vertraut. Gibts dafür schon eine Lösung.


#12

Wenn auf dem UCS noch das Zertifikat der UCS-CA arbeitet und ein kommerzielles Zertifikat nicht in in Reichweite ist, würde ich “Let’s Encrypt” nehmen.