[Postfixbuch-users] SHA2-Zertifikate auf Mailservern

Mathieu Simon (Lists) matsimon.lists at simweb.ch
Mi Feb 12 13:41:00 CET 2014


Liebe Liste

Aktuell habe ich eher am Rande das Vergnügen mich mit Mailservern
auseinanderzusetzen - aber demnächst gilt es das SSL-Zertifikat des ein-
resp. ausgehenden Mailservers (kein Postfix) zu erneuern.

Da die MS entschieden hat, ab 2017 auf u.a. deren Betriebssystemen SHA1
signierte SSL-Zertifikate nicht mehr zu akzeptieren und auch sonst SHA1
nicht mehr allzu empfehlenswert ist (aber noch weit verbreitet), dachte
ich, der Zeitpunkt wäre reif, einmal über SHA2 Zertifikate nachzudenken.
Gerade deswegen, weil dieses Jahr verlängerte Zertifikate meist 2 bis 3
Jahre und damit  bis 2016/17 gültig sein werden.

Die bisherige CA StartSSL signiert einen entsprechenden signing request
für SHA2 anstandslos mit der entsprechend anderen Sub-CA und die
bisherigen Tests mit einer dafür eingerichteten SSL-Webseite hat keine
Probleme mit Browsern aufgezeigt. (Einmal abgesehen von den beiden Dinos
Windows XP SP2 und Server 2003...)

Wie sieht es dagegen auf der SMTP-Seite aus? Gibt es unter den Lesern
Leute, die für StartTLS auf ihren ein- und ausgehenden Mailservern so
etwas bereits einsetzen und wenn ja, wie sind die Erfahrungswerte?

Es wäre für äusserst unangenehm, wenn plötzlich Mails nicht mehr
gesendet oder empfangen werden könnten. - Aber vielleicht ist das Bild
bei SMTP wie bei Browsern bereits ähnlich gut?

Grüsse
Mathieu

*
https://blogs.technet.com/b/srd/archive/2013/11/12/security-advisory-2880823-recommendation-to-discontinue-use-of-sha-1.aspx
oder:
http://blogs.technet.com/b/pki/archive/2013/11/12/sha1-deprecation-policy.aspx



Mehr Informationen über die Mailingliste Postfixbuch-users