[Postfixbuch-users] SHA2-Zertifikate auf Mailservern

Mathieu Simon (Lists) matsimon.lists at simweb.ch
Do Feb 13 13:01:15 CET 2014


Hallo Liste

Am 13.02.2014 11:59, schrieb Ralf Hildebrandt:
> * Andreas Schulze <andreas.schulze at datev.de>:
>> TLS ist normalerweise opportunistisch. Wenn ein MTA STARTTLS sieht und dann scheitert,
>> *sollte* er auf Klartext zurückfallen.
>> (hat da mal jemand verlässlich ausprobiert?)
> 
> Das ist im neuesten Snapshot gefixt...
Von Postfix?

Mir geht es v.a. darum, ob ich besser noch auf SHA1 bleibe, weil
allenfalls trotz des Alters von SHA2 nach wie vor viele Server draussen
laufen, die damit nicht sauber umgehen können. Ich stelle mir vor, dass
man beim MX eher konservativer als bei Webservern und insbesondere
Browsern versioniert. (nicht alle dürften sich Postfix aus den Snapshots
bauen) ;-)

Nicht ganz ernst gemeinte Alternative: SHA2-Zertifikat installieren und
sich als Admin in einen Bunker verdrücken, wenn dann zig Mails
abprasseln oder nicht mehr zugestellt werden können.

Ich habe von ein paar anderen MXen ob grosse oder kleine Firmen, mir die
Serverzertifikate mit OpenSSL geholt und den Signaturalgorithmus
ausgewertet. Kurzes Fazit dieser nicht repräsentativen Auswertung: Kein
einziger mit SHA256, das gross SHA1, ein paar wenige auch noch mit MD5.

Grüsse
Mathieu





Mehr Informationen über die Mailingliste Postfixbuch-users