Let's Encrypt kann E-Mail-Servern Probleme machen

Thore Bödecker me at foxxx0.de
Fr Dez 4 12:44:41 CET 2020 

Hi Daniel.

On 04.12.20 12:32, Daniel wrote:
> Neue Zwischenzertifikate von Let's Encrypt können zu abgewiesenen E-Mails führen. Der Fehler ist nicht groß, zeigt aber grundsätzliche Probleme.
> 
> Ganzer Artikel hier https://www.golem.de/news/dane-let-s-encrypt-kann-e-mail-servern-probleme-machen-2012-152559-rss.html
> 
> Nehmt ihr Änderungen am Server und/oder DNS vor?
> 
> Gruß Daniel
> 


Erstmal betrifft das nur diejenigen, die DNSSEC + DANE via TLSA Record
überhaupt aktiviert haben.

Außerdem (was ich sowohl an der Aussage von dem Exim Dev als auch im
Golem Artikel vermisse), entstehen die Probleme meines Wissens nach
nur bei DANE-TA, d.h. bei "Certificate Usage" == 2 im TLSA Record.
Ich persönlich würde nur DANE-EE, d.h. "Certificate Usage" == 3 im
TLSA Record verwenden, dabei wird die Trust Chain des Zertifikates
nicht weiter geprüft, was meiner Meinung nach in diesem Fall auch
nicht weiter notwendig ist.
Via DNSSEC wird eine überprüfbare/vertrauenswürdige DNS Auflösung
vermittelt (sofern der Resolver das AD Flag auch weitergibt) und in
diesen DNS Daten werden dann die ausgewählten Informationen über
Zertifikat bzw. Pubkey veröffentlich.
Wenn das dann beim Verbindungsaufbau übereinstimmt, hat man auch eine
"trusted" Verbindung.

Nachzulesen hier: https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities#Certificate_usage


Aktuell zögere ich noch mit einem TLSA Record bei LetsEncrypt, da ich
beim Renew auch immer einen frischen Key generieren lasse. Somit
bräuchte ich ein automatisiertes System, was zunächst den neuen
(zusätzlichen) TLSA Record veröffentlich, 2x die TTL abwartet und erst
dann den Postfix mit dem neuen Zertifikat reloaded. Anschließend kann
dann alte TLSA Record entfernt werden.
Um das ganze rock-solid zu bekommen ist etwas frickeln und viel Testen
notwendig, daher bin ich diesen Schritt noch nicht gegangen, steht
aber definitiv auf der Wunschliste. :)


Grüße,
Thore

-- 
Thore Bödecker

GPG ID: 0xD622431AF8DB80F3
GPG FP: 0F96 559D 3556 24FC 2226  A864 D622 431A F8DB 80F3
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20201204/2efadb9c/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users