Zertifikate und der avast! Virenscanner

Das hier beschriebene kann potenziell auch auf andere Virenscanner zutreffen.

Beim einrichten von Thunderbird bei einem Kunden meldete dieser ein Problem mit dem Zertifikat unserer Mailserver.

Thunderbird_SSL_Fehlermeldung1

Von “mail.schnied.net” wird ein Zertifikat verwendet, welches von einer handelsüblichen CA ausgestellt ist und mit allen gängigen Mailclients problemlos funktioniert. In diesem Fall hat sich der auf dem Computer vorinstallierte Virenscanner “avast!” in die Kommunikation dazwischen geschaltet. Das macht er, um den Datenverkehr zwischen Client und Server nach Viren zu scannen. (Hoffen wir mal, dass er nur das macht.) Dazu gibt er sich dem Mailserver gegenüber als Mailclient aus und täuscht dem eigentlichen Mailclient vor, dass er der Mailserver ist und ein gültiges Zertifikat für diesen besitzt – was in diesem Fall in die Hose geht. Wenn man sich die Details ansieht, sieht das so aus:

Thunderbird_SSL_Fehlermeldung2

Rein technisch betrachtet muss der Virenscanner das so machen, um den Emailverkehr scannen zu können, bevor er beim Endbenutzer ankommt. Vom Prinzip her ist das eine klassische Man-in-the-Middle-Attacke, welche genau so auch von bösen Buben praktiziert wird um Unfug zu treiben.

Ob man nun den Virenscan für die Emails abschaltet (was sowieso schon auf dem Mailserver gemacht wird), oder irgendein Programm in seine Mails schauen lässt und bewusst auf die Überprüfung der benutzten Zertifikate verzichtet, muss jeder Endbenutzer für sich entscheiden.