[Postfixbuch-users] Sicherheitsproblem in OpenSSL Verschlüsselung
Patrick Ben Koetter
p at sys4.de
So Apr 13 13:12:47 CEST 2014
* Christian Felsing <postfixbuch-users at listen.jpberlin.de>:
> Am 13.04.2014 10:09, schrieb Patrick Ben Koetter:
> > Carsten Strotmann und ich haben einen Artikel über DANE verfasst, der in der
> > nächsten c't erscheinen wird. DANE bietet einen Ausweg aus der CA-Misere.
>
> Prüft irgend ein Browser das per DNS?
Aktuell nur per Plugin: https://www.dnssec-validator.cz/
Ich habe aber das Plugin noch nicht auf alle DANE Use Cases geprüft. Aktuell
weis ich, es meldet grün wenn alles passt und wenn TLSA und Cert nicht passen
(Jetzt gerade bei uns auf https://sys4.de weil ich key rollover mache...).
Ob es auch bei falschen Policies (TLSA = CA cert, CERT = self signed) Alarm
gibt, habe ich noch nicht verifiziert.
> Es war ja schon ein Kampf, bis Firefox&Co über TLSv1.2 oder OCSP
> unterstützt haben. Unterstützt Postfix überhaupt OCSP bei Client Cert Auth?
Nein, das war eine Design-Entscheidung. Irgendwo in den Archiven vergraben. :)
p at rick
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste Postfixbuch-users