SSL-Certifikatsproblem

När jag försöker hämta mail till mitt hotmail-konto på mobilen så står det "problem har uppstått med SSL-certifikatet på den här webplatsen".

Någon som känner till vad detta är och hur man löser problemet?

Tack på förhand!

 

Kan vara en trasig fil, att man har ett nytt certifikat men det är också ett typiskt symtom på någon som lagt sig mellan dig och servern för att sniffa dina inloggningsuppgifter. För att kolla at det inte är detta så tag ett annat nätverk. Om du använt wifi så prova med GPRS. Att någon lagt sig emellan om du kör GPRS är inte troligt.

 

Får samma. Kan problemet vara att det utfärdats för hotmail.com, men man redirectas till live.com och i samband med detta fås ett felmeddelande..?

 

Samma för mig. Började för några dagar sedan.

 

Skrev fel ovan, behöver inte vara just GPRS ni provar med. Vilket protokoll som helst över telefonnätet går bra. När nu flera, på olika platser, haft problemet lär det för övrigt knappast bero på att någon sniffar.

 

Nu har jag hittat lösningen på problemet!
Gör så här:

1. Remove your email account from the Hotmail app.

2. Add the account in again

3. It should give you the following message "The server is using a self-signed authentication certificate. Do you want to login anyway?" Click Accept

Funkar för mig i alla fall

 

Självsignerat certifikat? Säker på att det inte är en man-in-the-middle attack?

 

Jag har ingen app.. Kör dolphin browser.

 

”Självsignerade certificat.....”. Vem som helst kan signera och göra ett eget certifikat. En sak kan vi nog utgå ifrån, Hotmail kör inte med egensignerade certifikat. Generellt sett så har ett sådant noll värde.

Vi kan hjälpas åt att kolla vad det är som pågår? Jag, och många andra med mig, kan rota i det men behöver då uppgifter: Använder ni en app för att få mailen från Hotmail, vad är det då för app? Kör ni via browsern, går in via www.hotmail.com och loggar in? Använder ni Hotmail via Androids vanliga postklient som ett pop- konto?

Utan att säga att det är som nedan tycker jag att ”egensignerade certifikat” gör att varningssignalerna börjar närma sig rött. Nedan några exempel på vad vi kan försöka kolla, en del av det utan alltför mycket jobb:

När man sniffar någon som är i närheten finns i princip två möjligheter. Båda gäller om man kör med WiFi. Kör man data via telefonnätet är det tekniskt svårt att sniffa på nära håll och vi kan nog glömma det:

- Man kan lägga sig mellan offret och routern på det lokala nätverket.

- Man kan ha en egen router med samma namn men med starkare signal.

I båda fallen ovan har man sedan tillgång till trafiken. Man kan även, i många fall, avkoda krypterade sändningar som SSL/TSL på ett enkelt sätt. Förr fanns det alltid folk på hamburgerbarerna i Stockholm som sniffade deras gratis WiFi nät. Samma på järnvägsstationer och flygplatser. Använder ni gratis WiFi där skall ni utgå från att det är sniffat.

När man sniffar någon på avstånd kommer appen in i leken. I detta fall kan offret även använda telefonnätet. Appen gör då så att man i själva verket inte kontaktar Hotmail direkt. Trafiken går till en server som sedan slussar trafiken vidare till Hotmail. Det finns så kallade ”anonymiseringstjänster” via appar som fungerar på detta sätt. Det finns ju ett nätverk för att köra anonymt på Intenet kallat Tor. Där missbrukas ofta detta att man kan sniffa trafiken som passerar.

 

Verisign class 3 extended validation ssl sgc ca.
Dolphin browser -> hotmail.com i adressfältet. (Måste rensa webbläsarcache först).
3g eller wifi har ingen betydelse. Mitt wifi är safe.
Inga vpn.

 

Boss303, har du fortfarande problem med certifikat? Har du godkänt ett nytt så får du inte varningen längre.

Ett tips: Ett av de farligaste verktygen för att hacka postkonton heter sslstrip. Farligt genom att man inte får någon varning för felaktiga certifikat. Man känner igen en sådan sniffing ge om att det först i adresserade skall stå HTTPS. Står det HTTP är man sniffade. Hotmail använder HTTPS enbart under inloggningen, väl inloggad går de över till HTTP.

Provade sslstrip härom dan på Google, Hotmail och på mitt kreditkortsföretag. Det gick inte att fortsätta alltid. Fick dock i alla fallen inloggningsuppgifterna så jag hade kunnat logga in på normalt sätt. Sslstrip fungerar enbart just när man börjar med HTTP och går över till HTTPS.

 

Problemet verkar bara vara med dolphin.


Trycker bara continue. Sen frågas det inte igen om man inte rensar cache.

 

Ja, innan man matar in känsliga uppgifter (som lösenord) så bör man kontrollera så att man använder https (det är ett hänglås). Fast många sidor har ju inte stöd för https, t.ex. swedroid.

 

För mig stannar hotmail på https, men jag ansluter med https://www.hotmail.com o inte bara www.hotmail.com. ? (Samma med andra webbläsare också, dock ingen varning då.)

Edit:
Om jag rensar all data för dolphin o loggar in med användarnamn o lösen så kommer ingen varning, det är först när man återkommer o inloggningen sker via cookie som certifikat varning dycker upp.

 

Kan inte komma på något intelligentare än att fråga Dolphin.