[Postfixbuch-users] To TLS or not to StartTLS?

[Mathieu Simon]

Mathias Jeschke schrieb:
> Beispiel: Wenn der Wirtschaftsspion es schafft, die Daten abzuhören
> (in dem er z.B. Zugriff auf einen Router hat), wird es ihm i.d.R.
> auch gelingen einen Man-in-the-Middle-Angriff zu starten.
>
> Also bringt es wohl, außer für das Gewissen wenig, wenn die Mailserver
> X.509-Zertifikate benutzen zu denen der Mailserver am anderen Ende keinen
> "Vertrauensanker" hat (Root-CA-Zertifikat, Public-Key).
>   
Ob plain oder MITM, beides ist nicht gut, das sehe ich ein.
Aber man muss für den Anwendungszweck abwägen. Die richtig teuren 
Zertifikate,
welche nicht über eine Kette von 2-3 Sub-CA's "geprüft" wurden, ja, die 
sind teuer.

Ich meinte, dass das ausliefern den Sub-CAs wie bei Webservern nicht
möglich sei, aber anscheinend doch?
http://listi.jpberlin.de/pipermail/postfixbuch-users/2006-July/026859.html

Trotzdem scheint für viele zu gelten, was Patrick schrieb:

"Policies, also z.B. Verschlüsselung mit definierten Identitäten einzufordern und 
andernfalls Verbindungen abzubrechen, ist aufwändig. Die Arbeit macht sich halt kaum einer."

>> [...] CAcert.org-Zertifikat [...]
>>     
> Also im Paket "ca-certificates" meiner Linux-Distri ist das nicht enthalten.
>   
In Debian's ca-certificates sind sie enthalten 
(http://wiki.cacert.org/InclusionStatus)
Ansonsten: um CAcert's Zukunft sieht es aus meiner Sicht aktuell eher 
düster aus.

Danke jedenfalls bisher für alle Antworten! - Nicht ganz unumstrittenes 
Thema ;-)

Mathieu


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/x-pkcs7-signature
Dateigröße  : 3666 bytes
Beschreibung: S/MIME Cryptographic Signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20100624/4f1e0e73/attachment.bin>