Frage zur CA von letsencrypt

[Andreas Meyer]

Andreas Meyer <anmeyer at mailbox.org> schrieb am 12.08.16 um 23:03:58 Uhr:

> Ich habe das lets-encrypt-x3-cross-signed.pem.txt auf den Server kopiert
> und in /var/lib/ca-certificates/pem als lets-encrypt-x3-cross-signed.pem
> gespeichert und ein c_rehash . ausgeführt. Hat geklappt.

Quatsch, was ich da gemacht habe. Das Zertifikat, das Post als Sender
für nimmini.de vorlegt ist von StartCom zertifiziert und StartCom ist
eingetragen in /var/lib/ca-certificates/pem.

> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: connect from mail.nimmini.de[46.38.231.143]
> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: Untrusted TLS connection established from mail.nimmini.de[46.38.231.143]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: 271E9222BE: client=mail.nimmini.de[46.38.231.143]
> Aug 12 22:54:48 bitwater1 postfix/cleanup[17970]: 271E9222BE: message-id=<20160812225443.77f4ae3e at workstation.bitcorner.intern>
> Aug 12 22:54:48 bitwater1 postfix/qmgr[17552]: 271E9222BE: from=<a.meyer at nimmini.de>, size=2062, nrcpt=1 (queue active)
> Aug 12 22:54:48 bitwater1 postfix/smtpd[17966]: disconnect from mail.nimmini.de[46.38.231.143]
> Aug 12 22:54:48 bitwater1 postfix/local[17971]: 271E9222BE: to=<andreas at bitwater.de>, relay=local, delay=0.04, delays=0.02/0/0/0.02, dsn=2.0.0, status=sent (delivered to mailbox)

Die Verbindung bleibt halt untrusted. Ein
openssl s_client -starttls smtp -connect 46.38.231.143:25
liefert ein positives Ergebnis.

  Andreas