[Postfixbuch-users] To TLS or not to StartTLS?

Mathieu Simon mathieu.simon at simweb.ch
Mi Jun 23 21:44:26 CEST 2010


Patrick Ben Koetter schrieb:
> Die TLS-CPU-Last wird bei heute verfügbarer Hardware überschätzt. 
> [...] macht TLS zu einer vertretbaren Angelegenheit.
>   
Klare Sache, so vermutete ich zumindest.
Ich kenne halt nur kleinere Systeme deshalb fragte ich nach Erfahrungen 
bei "grossen".
> Im Amateur und Semi-Professionellen Bereich findest Du TLS "aus Prinzip". Im
> Profi-Bereich, weil man dort mehr als nur Verschlüsselung sicherstellen muss -
> nämlich Unversehrtheit der Datenübertragung und vor allem Identität. 
>   
Genau da liegt der Unterschied zwischen Semi-Professionell und und 
Professionell.
Wer kein Geld ausgeben will, kann auch ein selbstsigniertes (oder einen 
freien CA)
nehmen. - Besser als keines (?). So lange man keine Ansprüche an die 
Verifizierung der
Zertifikats stellt geht das problemlos.

Bei mir wäre jedenfalls noch keine Mail ein- oder ausgehend gebounced 
worden,
weil ich (privat zumindest) hierfür ein CAcert.org-Zertifikat dazu 
verwende.
Soweit scheint bisher das MTA-Zertifikate überall angenomen bzw. nicht 
auf ihre Korrektheit
oder Validität geprüft werden, egal wie falsch manchmal der CN darauf 
ist. - Erst recht wird
wird die CA-Kette nicht geprüft. ;)
> Geld. Es kostet ein Schw***e-Geld Zertifikate für eine ganze Serverfarm zu
> kaufen, auszurollen, aktuell zu halten und die Policies (Datenbeziehungen) zu
> den TLS-Partnern dazu zu pflegen.
>   
Ja, sie kosten Geld und verlangen nach Aufmerksamkeit - wehe man vergisst
sie rechtzeitig zu erneueren...
Bei grösseren Betrieben braucht es dann schon die "richtigen", teuren 
Zertifikate,
das sehe ich ein. - Auch, dass man dann lieber mal das lieber das Geld 
lieber in
eine Tape library investiert ;)

Mathieu

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3666 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20100623/a46a80bd/attachment.bin>


Mehr Informationen über die Mailingliste Postfixbuch-users