[Postfixbuch-users] Fragen zu TLS

Christian Schoepplein chris at schoeppi.net
Fr Okt 29 00:06:30 CEST 2004


Hi Patrick!

On Do, Okt 28, 2004 at 11:37:23 +0200, Patrick Ben Koetter wrote:
> * Christian Schoepplein <chris at schoeppi.net> [041028 23:21]:
> > Bei folgenden Meldungen frage ich mich dann aber, ob sie deshalb zu
> > Stande kommen, weil ich irgendwas beim Bauen der Zertifikate verkehrt
> > gemacht habe:

[...]

> > 1. Sind diese Fehler normal wenn man selbst gebaute Zertifikate nutzt, 
> >    oder läuft da noch irgendwas grndlegend falsch? Eine verschlüsselte 
> >    Verbindung kommt doch letztlich zu Stande, oder?
> 
> 
> Ja, diese Fehlermeldungen tauchen oft auf und sind besonders bei
> self-signed certs an der Tagesordnung. Grundlegend falsch ist das nicht,
> denn wie Du ja sagst, kommt die Verschlüsselung zustande.

Das hört sich doch schon mal gut an *freu*.

> An dieser Stelle mußt Du Dir vor Augen halten, daß man mit
> Verschlüsselungstechnologien mehr machen kann, als den Inhalt für
> Außenstehende unzugänglich zu machen.
> 
> Man kann über Zertifikate eben auch die Identität verifizieren und
> ausgehend davon dem Gegenüber einen anderen Status an Vertrautheit
> zugestehen.
> 
> Weil aber der Server nicht in der Lage ist, die Identität festzustellen,
> tritt dieser Zustand "höhere Vertrauensstufe" nicht ein.
> 
> Wenn Du das gezielt beinflussen willst, dann kannst Du an der TLS Policy
> drehen. Den Namem des Parameters habe ich gerade vergessen, aber Du
> kaninst damit festlegen, daß Postfix z.B. grundsätzlich TLS ablehnen
> soll, wenn es die Identität nicht verifizieren sollte oder immer
> trotzdem "glauben" soll oder nur in bestimmten Fällen. Wirf einfach mal
> einen Blick in die Doku von Lutz.

OK. Eigentlich brauch ich so was nicht. Trotzdem würde ich aber gerne 
openssl mal besser verstehen lernen. Die Doku von Lutz ist da vielleicht 
vor allen im Bzug auf postfix ein guter Anfang, doch so eine richtig 
gute Beschreibung zu openssl habe ich einfach noch nicht gefunden :-(. 
Kennt hier zufällig jemand so was?

> > 2. Der Server mit den selbst gebauten Zertifikaten hängt im Netz und 
> >    empfängt Mails für einige Domains. Kann es wegen meiner eigneen 
> >    Zertifikaten zu irgendwelchen Problemen mit offiziellen Mailservern 
> >    kommen, die TLS beim Einliefern nutzen?
> 
> Ja, denn auch sie können eine TLS policy definieren und z.B. den Kontakt
> mit Deinem Server ablehnen, wenn sie seine Identität nicht feststellen
> können.
> 
> In der Praxis ist mir das bisher allerdings nicht begegnet, denn meist
> wollen die Server Verschlüsselung und nehmen es einfach mal so mit, wenn
> sie auch noch das cert verifizieren können.

OK. Das beruhigt mich erst mal ;-). Aber ein "offizielles" Zertifikat 
wäre auf Dauer dann schon besser. AFAIK sind die aber teuer, oder gibt 
es eine Möglichkeit relativ preiswert an offizielle Zertifikate zu 
kommen?

Gute N8,
Schöpp

-- 
Christian Schoepplein | Alles rund ums WEB: http://www.connectweb.de
chris at schoeppi.net | Linux fuer Blinde: http://www.blinux.suse.de



Mehr Informationen über die Mailingliste Postfixbuch-users