[Postfixbuch-users] SHA2-Zertifikate auf Mailservern

Mathieu Simon (Lists) matsimon.lists at simweb.ch
So Feb 23 09:46:50 CET 2014


Kurzes Update nach dem Zertifikatswechsel und ein paar Tagen Beobachtung ...

Am 13.02.2014 13:01, schrieb Mathieu Simon (Lists):
<snip!>

> Mir geht es v.a. darum, ob ich besser noch auf SHA1 bleibe, weil
> allenfalls trotz des Alters von SHA2 nach wie vor viele Server draussen
> laufen, die damit nicht sauber umgehen können. Ich stelle mir vor, dass
> man beim MX eher konservativer als bei Webservern und insbesondere
> Browsern versioniert. (nicht alle dürften sich Postfix aus den Snapshots
> bauen) ;-)
> 
> Nicht ganz ernst gemeinte Alternative: SHA2-Zertifikat installieren und
> sich als Admin in einen Bunker verdrücken, wenn dann zig Mails
> abprasseln oder nicht mehr zugestellt werden können.
> 

<snip!>

Ich habe nicht in einen Bunker flüchten müssen und soweit das die
Maillogs besagen: SHA256 scheint kein Problem (mehr) zu sein.
Trotzdem: YMMV.

Die Mailserver die vorher verschlüsselt von diesem Server Mails
empfingen, oder an ihn sandten, können dies weiterhin und es sind
(soweit) auch keine verlorenen Mails zu beklagen.

Und vielleicht als Randnotiz für den Mailadmin, der mal eben kurz prüfen
will was andere zu seiner StartTLS-Konfig meinen:

https://starttls.info/

Damit habe ich dann auch mal die schwächsten Ciphers bei mir deaktiviert
und auf so manchem Mailserver dürfte SSLv2 ebenso noch aktiv sein.

Grüsse
Mathieu



Mehr Informationen über die Mailingliste Postfixbuch-users