Let's Encrypt kann E-Mail-Servern Probleme machen

Klaus Tachtler klaus at tachtler.net
Fr Dez 4 13:11:36 CET 2020


Hallo Thore,

bei der Neugenerierung verzichte ich auf die Erzeugung eines Schlüssels und erteuge nur das Zertifikat neu.


Grüße
Klaus.

-- 
Diese Nachricht wurde von meinem Android-Gerät mit FairMail gesendet.


Von: Thore Bödecker <me at foxxx0.de>
An: Diskussionen und Support rund um Postfix <postfixbuch-users at listen.jpberlin.de>
Empfangen: 04.12.2020 12:52:29
Betreff: Re: Let's Encrypt kann E-Mail-Servern Probleme machen

> Hi Daniel.
> 
> On 04.12.20 12:32, Daniel wrote:
>> Neue Zwischenzertifikate von Let's Encrypt können zu abgewiesenen E-Mails führen. Der Fehler ist nicht groß, zeigt aber grundsätzliche Probleme.
>> 
>> Ganzer Artikel hier https://www.golem.de/news/dane-let-s-encrypt-kann-e-mail-servern-probleme-machen-2012-152559-rss.html
>> 
>> Nehmt ihr Änderungen am Server und/oder DNS vor?
>> 
>> Gruß Daniel
>> 
> 
> 
> Erstmal betrifft das nur diejenigen, die DNSSEC + DANE via TLSA Record
> überhaupt aktiviert haben.
> 
> Außerdem (was ich sowohl an der Aussage von dem Exim Dev als auch im
> Golem Artikel vermisse), entstehen die Probleme meines Wissens nach
> nur bei DANE-TA, d.h. bei "Certificate Usage" == 2 im TLSA Record.
> Ich persönlich würde nur DANE-EE, d.h. "Certificate Usage" == 3 im
> TLSA Record verwenden, dabei wird die Trust Chain des Zertifikates
> nicht weiter geprüft, was meiner Meinung nach in diesem Fall auch
> nicht weiter notwendig ist.
> Via DNSSEC wird eine überprüfbare/vertrauenswürdige DNS Auflösung
> vermittelt (sofern der Resolver das AD Flag auch weitergibt) und in
> diesen DNS Daten werden dann die ausgewählten Informationen über
> Zertifikat bzw. Pubkey veröffentlich.
> Wenn das dann beim Verbindungsaufbau übereinstimmt, hat man auch eine
> "trusted" Verbindung.
> 
> Nachzulesen hier: https://en.wikipedia.org/wiki/DNS-based_Authentication_of_Named_Entities#Certificate_usage
> 
> 
> Aktuell zögere ich noch mit einem TLSA Record bei LetsEncrypt, da ich
> beim Renew auch immer einen frischen Key generieren lasse. Somit
> bräuchte ich ein automatisiertes System, was zunächst den neuen
> (zusätzlichen) TLSA Record veröffentlich, 2x die TTL abwartet und erst
> dann den Postfix mit dem neuen Zertifikat reloaded. Anschließend kann
> dann alte TLSA Record entfernt werden.
> Um das ganze rock-solid zu bekommen ist etwas frickeln und viel Testen
> notwendig, daher bin ich diesen Schritt noch nicht gegangen, steht
> aber definitiv auf der Wunschliste. :)
> 
> 
> Grüße,
> Thore
> 
> -- 
> Thore Bödecker
> 
> GPG ID: 0xD622431AF8DB80F3
> GPG FP: 0F96 559D 3556 24FC 2226  A864 D622 431A F8DB 80F3
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 862 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20201204/9398d615/attachment-0001.asc>


Mehr Informationen über die Mailingliste Postfixbuch-users