[Postfixbuch-users] To TLS or not to StartTLS?
Mathieu Simon
mathieu.simon at simweb.ch
Mi Jun 23 21:44:26 CEST 2010
Patrick Ben Koetter schrieb:
> Die TLS-CPU-Last wird bei heute verfügbarer Hardware überschätzt.
> [...] macht TLS zu einer vertretbaren Angelegenheit.
>
Klare Sache, so vermutete ich zumindest.
Ich kenne halt nur kleinere Systeme deshalb fragte ich nach Erfahrungen
bei "grossen".
> Im Amateur und Semi-Professionellen Bereich findest Du TLS "aus Prinzip". Im
> Profi-Bereich, weil man dort mehr als nur Verschlüsselung sicherstellen muss -
> nämlich Unversehrtheit der Datenübertragung und vor allem Identität.
>
Genau da liegt der Unterschied zwischen Semi-Professionell und und
Professionell.
Wer kein Geld ausgeben will, kann auch ein selbstsigniertes (oder einen
freien CA)
nehmen. - Besser als keines (?). So lange man keine Ansprüche an die
Verifizierung der
Zertifikats stellt geht das problemlos.
Bei mir wäre jedenfalls noch keine Mail ein- oder ausgehend gebounced
worden,
weil ich (privat zumindest) hierfür ein CAcert.org-Zertifikat dazu
verwende.
Soweit scheint bisher das MTA-Zertifikate überall angenomen bzw. nicht
auf ihre Korrektheit
oder Validität geprüft werden, egal wie falsch manchmal der CN darauf
ist. - Erst recht wird
wird die CA-Kette nicht geprüft. ;)
> Geld. Es kostet ein Schw***e-Geld Zertifikate für eine ganze Serverfarm zu
> kaufen, auszurollen, aktuell zu halten und die Policies (Datenbeziehungen) zu
> den TLS-Partnern dazu zu pflegen.
>
Ja, sie kosten Geld und verlangen nach Aufmerksamkeit - wehe man vergisst
sie rechtzeitig zu erneueren...
Bei grösseren Betrieben braucht es dann schon die "richtigen", teuren
Zertifikate,
das sehe ich ein. - Auch, dass man dann lieber mal das lieber das Geld
lieber in
eine Tape library investiert ;)
Mathieu
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/x-pkcs7-signature
Dateigröße : 3666 bytes
Beschreibung: S/MIME Cryptographic Signature
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20100623/a46a80bd/attachment.bin>
Mehr Informationen über die Mailingliste Postfixbuch-users