[Postfixbuch-users] TLS - Anonymous vs. Untrusted

[Mathias Jeschke]

Hallo,

Am 06.09.13 13:17, schrieb Andreas Schulze:

> "When you configure the Postfix SMTP server to request client certificates,
>  the DNs of certificate authorities in $smtpd_tls_CAfile are sent to the client,
>  in order to allow it to choose an identity signed by a CA you trust.
>  If no $smtpd_tls_CAfile is specified, no preferred CA list is sent,
>  and the client is free to choose an identity signed by any CA. ..."

Das ist ja blöd gelöst - smtpd_tls_CAfile wird normalerweise benutzt um
dem Client eine Zertifikatskette von Zwischen-CAs zu senden, so dass der
das Server-Zertifikat validieren kann, wenn er nur die Root-CA kennt.

Somit kann man wohl in diesem Szenario dem Client nicht die freie
CA-Wahl lassen - gut das will man i.d.R. wahrscheinlich eh nicht.
(Client-Zertifikate benutzt man ja auch um seine eigene Clients zu
authentifizieren und nicht fremde MXer).

Mathias.