IP Kamera TLS Zertifikat

  • Hallo,


    wie manche sicherlich wissen, betreibe ich über 20 Kameras an 3 Standorten.

    Diese zeichnen bei Bewegung nicht nur auf sondern verschicken auch eMails.


    So weit so gut, bisher hat alles relativ gut funktioniert, doch vor ca. 3 Wochen ist mir aufgefallen, dass plötzlich gar keine eMails mehr kamen. Ich habe den remote Zugriff auf die Kameras geprüft, alles OK, die Daten wurden auch intern aufgezeichnet, also habe ich das erst einmal von mir geschoben. Vermutung, da hat sich was beim Provider getan (1&1 -> Ionos), das wird schon wieder.


    Als nach 1 Woche immer noch keine eMails kamen, begann meine Nachforschung.


    Habe ich vom PC aus über die eMail accounts mails verschickt dann hat das problemlos funktioniert. Also bei den Kameras nachgeschaut und die hatten wohl Probleme das TLS Zertifikat zu erkennen. Erkennung abgeschaltet und eMail Versand war wieder OK.


    Nun frage ich mich, liegt es am Provider, sprich Zertifikat, oder an der firmware der Kameras. Bei meinen Tests habe ich die Kameras mit verschiedenen firmware Rev. getestet, (neueste war von Mitte Januar), aber das machte keinen Unterschied.


    Die Frage ist, wem müsste ich jetzt auf die Füße treten, dem Kamerahersteller oder dem Provider (oder beiden?).


    VIele Grüße

    Ralf

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • Logs habe ich nicht, nur die Fehlermeldung habe ich mir irgendwo notiert.

    Sprich die RÜckmeldung wenn die Kamera versucht hat eine eMail zu verschicken.


    Beim Versand einer Test-Mail von der Kamera kommt mit aktiviertem TLS folgende Meldung:


    "TLS certificate verification failed: unable to get local issuer certificate"


    Einstellung:

    - SMTP Port 587

    - STARTTLS


    Wie gesagt, hat jetzt jahrelang so funktioniert.

    Meine Überlegung war, ob sich beim Übergang von 1&1 zu Ionos etwas geändert hat, aber laut deren FAQ hat sich an Port bzw. POrt Nr. nichts geändert. Es ist auch egal ob ich als SMTP Server den 1und1 oder ionos eingebe, die Fehlermeldung bleibt gleich. An der Authentifizierung hat sich (angeblich) auch nichts geändert.


    Verwende ich einen eMail client auf dem PC (Opera, thunderbird) dann funktionieren die Zugangsdaten auch. Deswegen dachte ich uerst an die firmware der Kamera, aber zu besagtem Zeitpunkt wurde kein Update durchgeführt, und das Problem tritt bei unterschiedlichen Kameras dieses Herstellers mit unterschiedlichem Rev. Stand der firmware auf.

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • Triff das auf alle 20 Kameras zu? Wenn nein dann bei den Kameras mal das Datum überprüfen. Hatte ich mal bei einer, die hat Datum und Uhrzeit nicht mehr behalten. Stand dann auf 1970. Dann paste das Zertifikatsdatum nicht mehr.

  • Trifft bei allen Kameras zu, Uhrzeit und Datum habe ich überprüft. Die holen sich die aktuelle Zeit bei einem Neustart automatisch, wobei einige von denen seit Monaten keinen Neustart mehr gemacht haben.

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • Müsste sich das nicht automatisch verlängern?

    Warum funktioniert es wenn ich über die gleichen accounts vom PC aus eMails verschicke? ((mit TLS aktiviert, gleiche Portnummer, gleicher Ausgangsserver)


    Irgendwie will mir das nicht in den Kopf. Ich tendiere dazu, dass es irgendwie mit der firmware der Kamera zu tun hat, aber warum liest man nichts darüber, ich bin ja nicht der einzige mit diesen Kameras. Zudem sind alle Kameras an 3 Standorten (also auch 3 verschiedene Router) betroffen. Wobei....an allen Standorten die gleichen Router FritzBox 7362.


    4 verschiedene Kameratypen des gleichen Herstellers.

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • Warum funktioniert es wenn ich über die gleichen accounts vom PC aus eMails verschicke? ((mit TLS aktiviert, gleiche Portnummer, gleicher Ausgangsserver)

    Hast du z.B. in thunderbird die Authentifizierung mittels Zertifikat aktiviert ? Oder erfolgt da die Authentifizierung mittels Passwort?

  • Hast du z.B. in thunderbird die Authentifizierung mittels Zertifikat aktiviert ?

    Ja, ist aktiviert. Hier mal ein Bild von den Einstellungen im Opera eMail client.





    Die Authentifizierung steht auf automatisch (schon immer), TLS ist angeklickt, und die entsprechende Portnummer eingetragen.

    Benutzername und Passwort musste dafür schon immer hinterlegt sein. Auch da habe ich nichts verändert.

    Als Server habe ich sowoehl 1&1 als auch ionos schon ausprobiert, keine Veränderung.


    Im Einstellungsmenü der Kamera sieht es ähnlich aus. Da kann ich noch ein snapshot machen.

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • Ich weiss nicht, ob opera bei "automatisch" wirklich auf Zertifikate zugreift...bei thunderbird gibt es im Menue zu Starttls extra einen Auswahlpunkt Zertifikat:




    Und irgendwo unter Einstellungen ist dann die Liste der vertrauenswuerdigen Zertifizierer hinterlegt:



    Möglicherweise unterscheiden sich da Kamera und Opera, einer versucht die emails mit hinterlegten (abgelaufenen, ungueltigen..) Zertifikat zu senden und scheitert, einer nutzt Passwort und hat erfolgt?

  • Kann ich mal nachschauen. Das würde bedeuten, dass es dann ein generelles Problem mit dem eMail Versand gäbe.

    Ich schaue auch mal nach, ob ich hier auf dem Rechnen einen thunderbird habe. Im Büro ist er auf jeden Fall installiert, wird aber selten genutzt.

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • ich gehe hier mal schwer davon aus, dass es hier nur um eine "Verification" der Gegenstelle per Zertifikat geht, nicht um eine Authentifizierung, die geschieht ja offensichtlich mit Passwort.


    Aus irgendeinem Grund kann deine Cam die Authentizität des Zertifikates der Gegenstelle nicht prüfen, weil es den Aussteller (issuer) nicht kennt.


    Denkbar wäre jetzt z.B., dass 1&1 im Zuge der Umstellung ihr Server-Zertifikat geändert hat und nun ein anderer Aussteller/Trust-Center ganz oben steht. Im Thunderbird merkst du es nicht, weil der halbwegs aktuell ist und eine gepflegte Stammzertifiat-Datenbank hat.

    Die IPCam hat nur die Stammcerts im Bauch, die bei der Entwicklung gerade aktuell waren..


    Nur eine Idee.

    Du könntest mal alternativ bei einer Cam ein anderes Email-Konto hinterlegen (gmx, gmail, was auch immer verfügbar ist) und schauen was passiert.

  • Hier die eMail settings der Kamera.



    Letztes Update 25.01.2019.


    In der untersten sichtbaren Zeile steht nur die Empfängeradresse, darunter kämen nur noch Optionen für weitere Empfänger, da habe ich aber keine Eintragungen gemacht.


    Wie man sieht, habe ich oben TLS auf None gesetzt, so funktioniert alles. Setze ich dort auf Starttls, dann kommt die o.g. Fehlermeldung.

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • Denkbar wäre jetzt z.B., dass 1&1 im Zuge der Umstellung ihr Server-Zertifikat geändert hat

    Das war anscheinend am 15.01. der Fall, und wenn ich mich richtig erinnere, hat damals der Ärger angefangen. Deswegen hatte ich auch das Kamera-Update am 25.01.2019 eingespielt, aber da hatte ich mir zuviel erhofft.

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • Stell mal bei der Foscam TSL und Port 465 ein.

    "The server sent an empty reply"



    Event. Need Authentication auf No.

    "the server sent an empty reply."


    Stelle ich den Port wieder zurück und anstatt Starttls nur TLS, dann bekomme ich die Fehlermeldung


    TLS handshake failed..........wrong version


    Erst wenn ich TLS abschalte kriege ich bei der Test-Mail ein Success.


    Irgendwie kommt die Kamera wohl mit dem neuen Zertifikat nicht klar. Die Frage ist, ob Foscam das mit einem nächsten firmware update erledigt, oder ob der Schwarze Peter bei Ionos liegt. Ich tippe eher in Richtung China.


    Der Effekt tritt bei allen auf, egal ob 9831W, 9900P, 9805W oder 9901EP, und unabhängig davon, welche firmware dort installiert ist (bei einigen wenigen wurde die letzten 12 Monate noch kein Update gemacht, wegen Plugin und Browser Komptibilität usw.).

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • wenn du für die cams ein eigenes email konto mit eigenen zugangsdaten hast, sehe ich es nicht als riesenproblem an ohne TLS zu senden.


    Alternativ suchst du dir irgendeinen freemail anbieter mit dem es geht..


    Aufs Update würde ich nicht hoffen.

  • Ja, ich habe für die Kameras eigene Konten angelegt (unter meiner Domain).

    Maximal 2 Kameras nutzen eine gemeinsame eMail Adresse damit das Postfach nicht so schnell überläuft, falls die mails mal nicht abgeholt werden sollten.


    Parallel werden die Videos auch auf internen SD Karten oder einer HD gespeichert die am Router hängt. Letzteres funktioniert noch nicht perfekt, da muss ich mal etwas Zeit investieren. Aber selbst die integrierten SD Karten reichen problemlos für mehrere Wochen, je nachdem wie oft halt eine Bewegung erkannt wird, und was letzten Sommer war interessiert mich nicht mehr. Videos und Bilder die verdächtige Aktivitäten zeigen werden dann sowieso manuell getrennt archiviert.

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • Prüf doch mal bei Deinem Hoster in den FAQ welche Port-Einstellungen für E-Mail vorgesehen sind. ggf. gab es hier eine Umstellung auf SSL / TLS. Kann es ggf. möglich sein, dass vor dem Versand die Authentifizierung durch einen POP3-Abruf erfolgt?

    Gruß
    Holger
    --
    Früher, da war vieles gut. Heute ist alles besser.
    Manchmal wäre ich froh, es wäre wieder gut.
    (Andreas Marti; Schweizer)

  • Muss ich nachforschen.

    Wie gesagt, TLS und die EInstellungen haben ja funktioniert. Ich habe spaßeshalber auch mal die Portunmmern verändert, was aber nur zu einer anderen Fehlermeldung geführt hat.


    Ich warte schon darauf, ob es ein weiteres firmware update gibt, aber bisher Fehlanzeige. Letztes Update war 25.01.2019.

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .