[Postfixbuch-users] Fragen zu TLS

Patrick Ben Koetter p at state-of-mind.de
Do Okt 28 23:37:23 CEST 2004 

* Christian Schoepplein <chris at schoeppi.net> [041028 23:21]:
> Bei folgenden Meldungen frage ich mich dann aber, ob sie deshalb zu
> Stande kommen, weil ich irgendwas beim Bauen der Zertifikate verkehrt
> gemacht habe:
> 
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:error in SSLv2/v3 read client hello A
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:error in SSLv2/v3 read client hello B
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 read client hello A
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write server hello A
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write certificate A
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write key exchange A
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write certificate request A
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:error in SSLv3 read client certificate A
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:error in SSLv3 read client certificate A
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: verify error:num=20:unable to get local issuer certificate

Postfix kann das Zertifikat nicht verifizieren.

> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: verify error:num=27:certificate not trusted

Postfix beschließt dem cert nicht zu trauen.

> Schließlich dann aber:
> 
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write change cipher spec A
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 write finished A
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: SSL_accept:SSLv3 flush data
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: TLS connection established from pD9ECAC57.dip.t-dialin.net[217.236.172.87]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
> Oct 28 22:20:37 as-6 postfix/smtpd[16459]: disconnect from pD9ECAC57.dip.t-dialin.net[217.236.172.87]

Postfix nutzt trotzdem TLS.

> 1. Sind diese Fehler normal wenn man selbst gebaute Zertifikate nutzt, 
>    oder läuft da noch irgendwas grndlegend falsch? Eine verschlüsselte 
>    Verbindung kommt doch letztlich zu Stande, oder?


Ja, diese Fehlermeldungen tauchen oft auf und sind besonders bei
self-signed certs an der Tagesordnung. Grundlegend falsch ist das nicht,
denn wie Du ja sagst, kommt die Verschlüsselung zustande.

An dieser Stelle mußt Du Dir vor Augen halten, daß man mit
Verschlüsselungstechnologien mehr machen kann, als den Inhalt für
Außenstehende unzugänglich zu machen.

Man kann über Zertifikate eben auch die Identität verifizieren und
ausgehend davon dem Gegenüber einen anderen Status an Vertrautheit
zugestehen.

Weil aber der Server nicht in der Lage ist, die Identität festzustellen,
tritt dieser Zustand "höhere Vertrauensstufe" nicht ein.

Wenn Du das gezielt beinflussen willst, dann kannst Du an der TLS Policy
drehen. Den Namem des Parameters habe ich gerade vergessen, aber Du
kaninst damit festlegen, daß Postfix z.B. grundsätzlich TLS ablehnen
soll, wenn es die Identität nicht verifizieren sollte oder immer
trotzdem "glauben" soll oder nur in bestimmten Fällen. Wirf einfach mal
einen Blick in die Doku von Lutz.

> 2. Der Server mit den selbst gebauten Zertifikaten hängt im Netz und 
>    empfängt Mails für einige Domains. Kann es wegen meiner eigneen 
>    Zertifikaten zu irgendwelchen Problemen mit offiziellen Mailservern 
>    kommen, die TLS beim Einliefern nutzen?

Ja, denn auch sie können eine TLS policy definieren und z.B. den Kontakt
mit Deinem Server ablehnen, wenn sie seine Identität nicht feststellen
können.

In der Praxis ist mir das bisher allerdings nicht begegnet, denn meist
wollen die Server Verschlüsselung und nehmen es einfach mal so mit, wenn
sie auch noch das cert verifizieren können.

Anders sieht das bei Firmennetzen an verteilten Standorten aus über die
schützenswerte Infos ausgetauscht werden. Da will man dann schon sicher
sein, das das Gegenüber der eigene Server ist und nicht ein
"man-in-the-middle" des Konkurrenten ;)

p at rick




> 
> Ciao + THX,
> Schöppi
> 
> -- 
> Christian Schoepplein | Alles rund ums WEB: http://www.connectweb.de
> chris at schoeppi.net | Linux fuer Blinde: http://www.blinux.suse.de
> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> JPBerlin - Mailbox und Politischer Provider
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
SMTP AUTH
Howto: <http://postfix.state-of-mind.de/patrick.koetter/smtpauth/>
Debug: <http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users