Nieuwe imap.xs4all.nl certificaat wordt niet vertrouwd, kan Apple Mail niet meer gebruiken nu

Ik heb precies hetzelfde probleem!
Dezelfde iOS versie dezelfde melding.

Je kunt ook imap.kpnmail.nl gebruiken.

De oplossing die de XS4ALL-helpdesk mij gaf (Instellingen / Algemeen / Zet over of stel iPhone opnieuw in / Stel opnieuw in / Herstel netwerkinstellingen) heeft bij mij niet geholpen. 

Wie zegt me dat op imap.kpnmail.nl niet dezelfde fout gemaakt is of wordt? Hier zijn de systeembeheerders in de fout gegaan. Zij zullen het dus ook moeten herstellen. Vroegguh zou ik JP even gekieteld hebben om het op te lossen.

Uiteraard niet, want het is een fout in de installatie van het certificaat. Zelfs na een drastischer wijziging (update van 15.8.4 naar 15.8.5) was de fout er nog steeds. Op iOS 26.0 (iPhone SE 2nd gen) gaat het nog prima. Ik gok dat ze een intermediate certificaat niet geinstalleerd hebben.

imap.xs4all.nl gebruikt een Sectigo certificaat, wat in Nederland geleverd wordt door SSLcertificaten/Xolphin. Volgens hun instructies moet je behalve het certificaat zelf ook de intermediate certificaten en zelfs het root certificaat installeren voor een imap-server.

https://www.sslcertificaten.nl/support/UW_IMAP/UW_IMAP_-_Installatie_certificaat

Workaround: Hier nog een iPhone 7 aanwezig, loopt op 15.8.5 met een XS4ALL account. De gegevens voor pop.kpnmail.nl (of imap.kpnmail.nl)(inkomend) en smtp.kpnmail.nl (uitgaand)ingevuld met de gegevens met [gebruikersnaam@kpnmail.nl] en de mails lopen prima binnen.  

Zonder workaround werkt de mail weer bij deze xs4all-klant. Dank, Jan, voor het melden en Alex voor het helpen oplossen.  

Zelf krijg ik nog de melding over een ongeldig certificaat. Op zich geen probleem, voor mij althans, om een workaround te gebruiken.

Het lijkt erop dat ze het oude certificaat hebben teruggezet. Er staat nu geen certificaat meer dat vandaag geldig werd en ergens in oktober 2026 zou verlopen, maar 1-tje die inging op 10 septermber 2024 en verloopt op Oct 11 23:59:59 2025 GMT. Zie de output van

openssl s_client -connect imap.xs4all.nl:993 | openssl x509 -startdate -noout

openssl s_client -connect imap.xs4all.nl:993 | openssl x509 -enddate -noout

Ik heb op dit moment ook geen problemen meer op mijn iPhone SE 1st gen en op mijn iPad Air 2

Die van imap.kpnmail.nl verloopt overigens op Apr 24 23:59:59 2026 GMT.

• Is dit topic wel beantwoord ?

Het acute probleem is opgelost door het terugzetten van het oude certificaat. Maar uiterlijk 11 oktober zullen ze toch een nieuw certificaat moeten neerzetten.

Voor die tijd zal Apple zijn zaakjes op orde moeten brengen en de juiste root/tussenliggende certificaten via updates op al hun apparaten moeten uitrollen.
Windows, Linux en Android hebben namelijk geen probleem met dat nieuwe certificaat.

Apple zal vrijwel zeker geen updates uitrollen voor iOS 15 voor 11 oktober. Tussen 15.8.4 en 15.8.5 zat 5,5 maand:

https://support.apple.com/en-us/122345 (15.8.4. 3 fixes voor een exploit)

https://support.apple.com/en-us/125142 (15.8.5. 1 gepubliceerde fix voor een exploit)

Die updates bleven beperkt tot fixes voor dingen die gebruikt kunnen worden voor een exploit. Het missen van een root certificate hoort daar zeker niet bij. En al zeker niet als de certificatenboer aangeeft dat je het root certificate moet meesturen bij imap servers. Ook bv. voor dovecot (wat XS4ALL gebruikte) en voor Exchange (wat KPN wel zal gebruiken; niet gecheckt).

Binnenkort fixt Microsoft dergelijke zaken ook niet meer voor Windows 10. Dat ontslaat systeembeheerders niet van de plicht oudere devices te blijven ondersteunen, zolang dat probleemloos kan.

Ik koppel jullie bevindingen nog even terug mensen. Samenvattend: het oude certificaat is weer teruggezet maar de kans is dus aanwezig dat die in oktober weer verloopt? 

Sectigo certificaten hebben een maximale looptijd van 13 maanden, dus het oude certificaat (dat er nu staat) verloopt hoe dan ook op 11 oktober 2025. Net nog even gecheckt:

# openssl s_client -connect imap.xs4all.nl:993 | openssl x509 -enddate -noout

depth=2 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=1 C = GB, ST = Greater Manchester, L = Salford, O = Sectigo Limited, CN = Sectigo RSA Domain Validation Secure Server CA
verify return:1
depth=0 CN = imap.xs4all.nl
verify return:1
notAfter=Oct 11 23:59:59 2025 GMT

Die laatste regel ‘notAfter=Oct 11 23:59:59 2025 GMT’ geeft de eindtijd van het huidige certificaat weer.

Hallo, 

kan nog steeds geen mail met xs4all versturen van mijn IPad Air 2 met IOS 15.8.4. Krijg nog steeds de melding van het certificaat. En er staat bij mij nog steeds het nieuwe certificaat geldig tot 2026.

kan iemand mij duidelijk uitleggen wat ik moet doen, wat ik moet instellen/veranderen. Begrijp niet alles wat hierboven allemaal staat (ben 76 jaar 🤫)

Alvast bedankt voor de reactie.

Bedankt voor de toelichting Jan!

Sluit even je mail. Dubbelklik op de home knop en het mail icon naar boven swipen. Daarna mail weer openen. Probeer anders een update naar 15.8.5. Mijn iPad Air 2 onder 15.8.5 heeft er geen last meer van.

Met de oorspronkelijke instellingen komen de mails weer binnen, en kan er ook uitgaand worden gemaild. 

Beste Jan,

Sluit even je mail. Dubbelklik op de home knop en het mail icon naar boven swipen. Daarna mail weer openen. Probeer anders een update naar 15.8.5. Mijn iPad Air 2 onder 15.8.5 heeft er geen last meer van.

snap er niets meer van. De twee bovenstaande oplossingen die jij aandraagt heb ik gedaan.

Helaas, helpt niet. Krijg volgende melding.

Geklikt op annuleren. Krijg ik het volgende

Ben niet echt een digibeet, maar snap er niets meer van.

Aha, in de installatie van het certificaat van smtp.xs4all.nl zit dezelfde fout en daar hebben ze het oude certificaat niet teruggezet. Dat certificaat is gisteren ingegaan (notBefore=Sep 15 00:00:00 2025 GMT) en is geldig tot 2026 (notAfter=Oct 16 23:59:59 2026 GMT)

# openssl s_client -connect smtp.xs4all.nl:465 | openssl x509 -enddate -noout
depth=3 C = US, ST = New Jersey, L = Jersey City, O = The USERTRUST Network, CN = USERTrust RSA Certification Authority
verify return:1
depth=2 C = GB, O = Sectigo Limited, CN = Sectigo Public Server Authentication Root R46
verify return:1
depth=1 C = GB, O = Sectigo Limited, CN = Sectigo Public Server Authentication CA DV R36
verify return:1
depth=0 CN = smtp.xs4all.nl
verify return:1
notAfter=Oct 16 23:59:59 2026 GMT

​@Lène C Krijg je wel mail binnen, maar kun je niets versturen?

​@Remco van KPN Kun je doorgeven dat ze ook het oude certificaat van smtp.xs4all.nl terugzetten? Dit in afwachting van een definitieve oplossing voor 11 oktober?

Scherp opgemerkt ​@Jan Ehrhardt. Ik heb het doorgegeven, als we een reactie ontvangen laten we het hier direct weten!

Welke instellingen gebruik jij voor uitgaande mail? smtp.xs4all.nl op poort 587 met starttls of smtp.xs4all op poort 465 met SSL?