In dem El Capitan-Thread klangen die Probleme ja schon mal an, aber wir haben noch weiter versucht, das einzugrenzen.
Wir haben hier den Fall, dass Macs mit El Capitan an den VDSL-Anschlüssen eines bestimmten Anbieters sporadisch Fehler beim Ssl-Verbindungsaufbau haben. Betroffen sind wohl nicht ältere Systeme.
Symptome:
- Ruft man eine HTTPS-Seite in Safari auf (z.B. Google), dann wird sie meist normal geladen, aber relativ oft passiert gar nichts, d.h. die Seite wird nicht geladen und bleibt weiß bzw. die alte Seite bleibt.
- Beim Mail empfangen und versenden (über SSL) kommt es öfters zu Verbindungsfehlern. Deshalb dauert es manchmal minutenlang bis eine Mail aus dem Ausgangspostfach verschickt ist bzw. minutenlang bis eine Mail ankommt.
- Beim Synchronisieren von Kontakten und Kalendern per CalDAV und CardDAV (auch über SSL) kommen öfters Verbindungsfehler.
Wartet man einfach ein paar Minuten, geht wieder alles. Wohlgemerkt: Während der Zeit ist die Internetverbindung für andere Sachen ganz normal nutzbar.
In der Konsole haben wir z.B. bezgl. Mail folgendes gefunden: "CFNetwork SSLHandshake failed (-9847).
Firefox zeigt dieses Problem nicht, nutzt aber eben nicht die systemweite SSL-Implementierung, sondern eine eigene.
Das Problem kann kein weit verbreitetes sein, denn diese Häufigkeit an Aussetzern bei diesen drei typischen Nutzungen wären schon laut im Netz verbreitet worden.
Sucht man nach der Konsolenmeldung, findet man schnell den Hinweis, dass seit El Capitan von Apple TLS 1.2 mit Forward Secrecy zwingend ist und wenn der andere Server das nicht unterstützt, es zu solch einer Fehlermeldung kommt. Daher glaube ich, dass das Problem schon mit diesem Zwang zu tun hat. Firefox benutzt zwar auch TLS 1.2, kann aber im Bedarfsfall auch auf unsicherere Methoden zurückgreifen.
Nun ist es aber nicht so, dass die verwendeten Server kein TLS 1.2 mit Forward Secrecy könnten, denn meistens klappt es ja. Es sind nur sporadische Aussetzer. Meine Vermutung geht dahin, dass irgendetwas bei dem Provider dafür sorgt, dass TLS 1.2 mit Forward Secrecy manchmal fehl schlägt, Firefox in diesen Fällen dann auf eine ältere Methode zurückschaltet, aber Safari und die anderen Sachen das seit El Capitan nicht mehr dürfen und daher dann der Aussetzer erst zu bemerken ist.
Aber was kann das sein?
Es gibt ja auch mögliche Probleme mit SSL/VPNs an DS-Lite-Anchlüssen wegen der MTU-Größe. Ob das hier so etwas ähnliches ist. Wir tappen da ziemlich im Dunkeln. Hat jemand eine Idee oder eine Tipp in welche Richtung wir noch suchen könnten?
