[postfix-users] TLS von MTA zu MTA
Florian Streibelt
postfix at f-streibelt.de
Mo Aug 12 11:28:26 CEST 2013
Am Mo, 12.08.13 um 09:33:06 Uhr
schrieb Patrick Ben Koetter <p at sys4.de>:
> Den Meisten reicht es, wenn sie mit einer selbstsignierten,
> verschlüsselten Verbindung "Datenintegrität", "Privatsphäre" und ggf.
> "Zugangskontrolle" herstellen können. Auf "Authentizität" (Identität) legen
> sie scheinbar nicht denselben Wert.
Und hier ist halt das Problem, dadurch ist ein man in the middle Angriff trivial möglich, einzig der Fingerprint des ZErtifikats ändert sich.
Und da das regelmässig der Fall ist kann man das leider vergessen.
Und nein, ich halte es nicht für Zielführend, wenn alle Betreiber sich ein Zertifikat kaufen müssen - das wirft nur den CA's noch mehr Geld unnötig in den Rachen. Die verdienen sich eh schon dumm und dusselig. Höhepunkt bisher: Sie wollten für jeden physikalischen Host auf dem ein (Wildcard) Zertifikat installiert wird nochmal abkassieren.
Und die einzige 'Prüfung' lag damals darin, dass sie uns zurückgerufen haben auf einer Nummer die wir angegeben haben, sich da jemand mit dem Firmennamen meldete und sie ein Briefbogen von uns sehen wollten. Ich glaube nen Nachweis dass es die Firma überhaupt gibt wollten sie letzlich gar nicht.
Ich warte ja seit Jahren darauf, dass mal jemand gpg und CAs verheiratet - prinzipiell kann man sowas ja kompatibel machen. GnuPG hat ja eine trustdb - und schon sind wir die zentralen CAs los. Dann kann jeder selber sehen ob er z.B. den debian-maintainern vertraut, deren Software er ja eh schon auf seinem server laufen hat, etc.
/Florian
Mehr Informationen über die Mailingliste postfix-users