[Postfixbuch-users] To TLS or not to StartTLS?

Mathias Jeschke postfixbuch-users at gmj.cjb.net
Do Jun 24 11:23:19 CEST 2010


Mathieu Simon schrieb:

>> Beispiel: Wenn der Wirtschaftsspion es schafft, die Daten abzuhören
>> (in dem er z.B. Zugriff auf einen Router hat), wird es ihm i.d.R.
>> auch gelingen einen Man-in-the-Middle-Angriff zu starten.
>>
>> Also bringt es wohl, außer für das Gewissen wenig, wenn die Mailserver
>> X.509-Zertifikate benutzen zu denen der Mailserver am anderen Ende keinen
>> "Vertrauensanker" hat (Root-CA-Zertifikat, Public-Key).
>>   
> Ob plain oder MITM, beides ist nicht gut, das sehe ich ein.
> Aber man muss für den Anwendungszweck abwägen. Die richtig teuren
> Zertifikate,
> welche nicht über eine Kette von 2-3 Sub-CA's "geprüft" wurden, ja, die
> sind teuer.

Also die (einfachen) von StartSSL sind kostenlos (1 Sub-CA).
Okay hier wird zwar "nur" geprüft, ob der Beantragende Zugriff auf gewisse
Mail-Accounts hat (postmaster, webmaster, ...) - das sollte aber bei
ordentlich konfigurierten Systemen und der Voraussetzung,
dass das DNS nicht gehackt wurde dennoch eine Hürde darstellen.

> "Policies, also z.B. Verschlüsselung mit definierten Identitäten
> einzufordern und andernfalls Verbindungen abzubrechen, ist aufwändig.
> Die Arbeit macht sich halt kaum einer."

Typisches Henne-Ei Problem.

Und solange es selbst große Provider (z.B. Bigfish/Microsoft) nicht
schaffen ihre A- und PTR-Records in Einklang zu bringen, womit man
sich z.B. mit "reject_unknown_client_hostname" ins Knie schießt,
wird das mit solchen Sachen schon gar nichts, wenn man sich bzw.
seine Kunden nicht isolieren will.

>> Also im Paket "ca-certificates" meiner Linux-Distri ist das nicht
>> enthalten.

Stimmt. Ich wusste nicht, dass openssl anscheinend wo anders seinen
CA-Store hat. So geht's:
$ openssl s_client -CApath /etc/ssl/certs/ -connect cacert.org:443
[...]
Verify return code: 0 (ok)

Gruß,
Mathias



Mehr Informationen über die Mailingliste Postfixbuch-users