[Postfixbuch-users] TLS server engine: cannot load cert/key data , may be a cert/key mismatch?
Peer Heinlein
p.heinlein at heinlein-support.de
Mo Nov 9 00:30:39 CET 2009
Am Sonntag, 8. November 2009 schrieb Sascha Peters:
> Also wenn jeder theoretisch den Schlüssel aus der hinteren Ecke im Flur
> in der untersten Schublade des Schrankes nehmen kann, gibt es
> vielleicht noch immer Leute die da nicht suchen. Dann macht das Sinn.
> Aber "Sicher" ist es dadurch nicht. :-)
Also, schwadronierende hinkende Analogien in Ehren, aber wenn jemand weiß,
warum er einen SSL-Schlüssel kapern und was er damit anstellen will, der
scheitert jetzt ganz sicher nicht daran, daß das Key-Passwort in einem
Script hinterlegt ist...
Relevanter ist da schon eher, daß jemand, der einen SSH-Key mit
root-Rechten vom Server auslesen kann (geschützt oder ungeschützt) dann
auch eigentlich in der bequemen Situation ist, daß er diesen SSH-Key
eigentlich auch gar nicht mehr sinnvoll für irgendwas brauchen kann --
gerade bei Mailservern.
Und solange es bratzige Pappenheimer-CAs gibt, die Zertifikate ohne
relevante Überprüfung ausstellen und sich trotzdem in relevante Browser
und SSL-Komponenten als CA eingekauft haben, ist das
Prinzip "authentifizierte signierte Schlüssel durch die CA" in meinen
Augen eh halbwegs hinfällig.
Gruß
Peer
--
4. Secure Linux Administration Conference (SLAC)
Am 10. und 11. Dezember in Berlin:
http://www.heinlein-support.de/slac
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting
http://www.heinlein-support.de
Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
Mehr Informationen über die Mailingliste Postfixbuch-users