Auf dem Samsung-Smartphone eines Kunden meldete plötzlich die Mail-App einen Zertifikatsfehler. Bei näherer Betrachtung stellte man fest, das nicht (mehr) das eigentliche Zertifikat verwendet wird:

Mailserver-seitig wird ein öffentliches (ordentliches) Zertifikat verwendet. Wie und woher dieses “SO WIFI HOTSPOTS”-Zertifikat nun gezogen wurde blieb unklar. Laut Kunde war er mit keinem anderen WLAN verbunden. Ebenso wurden keine neuen Apps installiert oder welche aktualisiert. Seltsamerweise betraf es nur das ActiveSync-Konto der Firma, nicht allerdings ein parallel dazu eingerichtetes IMAP-Konto von Web.de.

SO WIFI scheint indes dieses hier zu sein:

SO Connect

Der Lesart nach eine Marketing-Analyse-Geschichte. Dazu gibt es neben “freien” WLAN (man bezahlt ja mit seinen Daten bzw. Verhalten) wohl auch Apps mit den Namen “SO WIFI” oder “SO Connect”. Beide waren im übrigen nicht installiert. Dem Kunden sagte der Name nichts.

Liest man in der FAQ kann einem da schon mal anders werden:

"SO WIFI ermöglicht es Ihnen, Ihre Kunden in- und auswendig kennen zu lernen und bietet eine Marketing-Plattform um diese direkt zu erreichen.
Durch die Installation eines SO WIFI Hotspots an Ihrem Standort können Sie Informationen über Ihre Besucher, Kunden und Passanten sammeln. ..."

Da sich das Zertifikat irgendwie “eingeschmuggelt” hat, könnte man SSL-Interception vermuten.

Die Verbindungen von und zum Smartphone waren indes nicht auffällig. Ein Aufruf der Webmail-Seite des Mailservers, die das gleiche Zertifikat verwendet, war völlig in Ordnung, es wurde das richtige Zertifikat verwendet.

Irgendwelche VPN-, Proxy- oder sonstwie andere Verbindungen waren nicht konfiguriert. Namensauflösung (DNS) klappte ebenso ohne Überraschungen. Selbst wenn man die Zertifikatsmeldung bestätigte und der Sync lief wurde auf dem Mailserver die richtige IP-Adresse des Smartphones angezeigt. Soweit lies sich also nicht ermitteln das die Daten irgendwie einen anderen Weg nehmen als sie sollten.

So richtig klären was da passiert konnten wir leider nicht. Es bleibt ein mulmiges Gefühl zurück, zumal die Ursache unbekannt bleibt.

Die Lösung bestand darin, das betroffene ActiveSync-Konto zu löschen und neu anzulegen.