[Postfixbuch-users] [solved] Nur Serverzertifikat bei mandatory TLS hinterlegen
Tobias Luithardt
tobias.luithardt at r1net.de
Do Jul 28 11:26:26 CEST 2011
>> ist es möglich in
>> http://www.postfix.org/postconf.5.html#smtp_tls_CApath
>> oder
>> http://www.postfix.org/postconf.5.html#smtp_tls_CAfile
>> nur ein Serverzertifkat zu hinterlegen, um nicht der dazugehörigen Root-CA
>> (und ggfs. Sub-CAs) zu vertrauen?
>Nein.
doch, zumindest der Fingerprint kann ab der Version 2.5 hinterlegt werden
http://www.postfix.org/TLS_README.html#client_tls_fprint
>> http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps
>> ist auf secure gestellt.
>Die Frage sollte eventuell eher lauten:
>Ist Dein Setup wirklich so sicherheitskritisch, dass Du:
>a) Angst haben musst, dass die CA des Mailservers, für den Du
> eine Sonderbehandlung haben möchtest, Zertifikate an illegitime
> Antragsteller (für den gleichen Common Name) ausstellt,
ja
>b) vielleicht ein VPN zwischen den Mailservern spannen solltest,
ja, das ist eine Alternative
>c) eine eigene CA betreiben solltest (falls Du die betroffenen
> Mailserver kontrollierst).
nein, betreibe ich nicht
Mehr Informationen über die Mailingliste Postfixbuch-users