[Postfixbuch-users] TLS server engine: cannot load cert/key data , may be a cert/key mismatch?

[Peer Heinlein]

Am Sonntag, 8. November 2009 schrieb Sascha Peters:

> Also wenn jeder theoretisch den Schlüssel aus der hinteren Ecke im Flur
> in der untersten Schublade des Schrankes nehmen kann, gibt es
> vielleicht noch immer Leute die da nicht suchen. Dann macht das Sinn.
> Aber "Sicher" ist es dadurch nicht. :-)

Also, schwadronierende hinkende Analogien in Ehren, aber wenn jemand weiß, 
warum er einen SSL-Schlüssel kapern und was er damit anstellen will, der 
scheitert jetzt ganz sicher nicht daran, daß das Key-Passwort in einem 
Script hinterlegt ist...

Relevanter ist da schon eher, daß jemand, der einen SSH-Key mit 
root-Rechten vom Server auslesen kann (geschützt oder ungeschützt) dann 
auch eigentlich in der bequemen Situation ist, daß er diesen SSH-Key 
eigentlich auch gar nicht mehr sinnvoll für irgendwas brauchen kann -- 
gerade bei Mailservern. 

Und solange es bratzige Pappenheimer-CAs gibt, die Zertifikate ohne 
relevante Überprüfung ausstellen und sich trotzdem in relevante Browser 
und SSL-Komponenten als CA eingekauft haben, ist das 
Prinzip "authentifizierte signierte Schlüssel durch die CA" in meinen 
Augen eh halbwegs hinfällig. 

Gruß

Peer


-- 
4. Secure Linux Administration Conference (SLAC)
Am 10. und 11. Dezember in Berlin:
http://www.heinlein-support.de/slac

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin