[Postfixbuch-users] SHA2-Zertifikate auf Mailservern

Igor Sverkos igor.sverkos at googlemail.com
So Feb 23 12:01:23 CET 2014


Hallo,

Mathieu Simon schrieb:
> Und vielleicht als Randnotiz für den Mailadmin, der mal eben kurz prüfen
> will was andere zu seiner StartTLS-Konfig meinen:
>
> https://starttls.info/
>
> Damit habe ich dann auch mal die schwächsten Ciphers bei mir deaktiviert
> und auf so manchem Mailserver dürfte SSLv2 ebenso noch aktiv sein.

Nur um etwas klarzustellen:

Bei "SSL" müssen sich zwei Seiten auf etwas einigen. Im Zweifel
entscheidet der Client - auch mit einer Ablehnung aller vom Server
vorgeschlagenen Methode. Das kann dann dazu führen, dass gar nicht
verschlüsselt wird.

Ich frage dich also: Was ist jetzt besser? Die Algorithmen/Cipher
serverseitig zu limitieren damit eine Gegenstelle im Zweifel sagt
"Dann halt gar nicht" oder die vermeintlich unsicheren
Algorithmen/Ciphern doch noch zu unterstützen, aber sie eben erst am
Ende vorzuschlagen?

Um es klar zu sagen: Du als Server kannst lediglich vorschlagen. Es
liegt am Client ob er

a) deine Vorschläge sich überhaupt anschaut
b) auch die von dir vorgeschlagenen Dinge unterstützt

Darüber hinaus sollte man annehmen, dass der Client sich bei der Wahl
des Algorithmus/Ciphers etwas dabei denkt. Davon auszugehen der Server
weiß es besser zeugt nur vom Unverständnis der Materie.

Solltest du kein Downgrade auf Plaintext gestatten - dann ist dein
Setup "sicher". In jedem anderen Falle schwächst du dein Setup -
meiner Meinung nach - dadurch erheblich (und vor allem ohne Grund).

...dieser Wahn Cipher/Algorithmen abzuschalten der in allen möglichen
Blogs tausendfach wiederholt wird ist in meinen Augen auf Leute
zurückzuführen die von der Sache selber keine Ahnung haben und leider
dennoch irgendetwas empfehlen. Gefährlich.

Selbst wenn bspw. RC4 allgemein heute als unsicher - gerade im
Vergleich zu den Alternativen - gilt, ist es dennoch besser als
Plaintext.

Denke da mal drüber nach.


-- 
Ich Grüße,
Igor



Mehr Informationen über die Mailingliste Postfixbuch-users