potentielle Probleme bei Umstellung auf Zertifikat von "Let's Encrypt"
Ralf Hildebrandt
r at sys4.de
Di Feb 20 10:29:13 CET 2024
* Rudolf E. Steiner via postfix-users <r.steiner at nemox.net>:
> Am 11.02.24 um 14:25 zitierte/schrieb Ralf Hildebrandt:
>
> >> Ich habe "certbot" ohne Parameter dbzgl. verwendet. Muss ein bestimmter
> >> Signaturtyp verwendet werden?
> > Ich denke es wird defaultmäßig ein ECC key/cert erzeugt, das könnte das
> > Problem sein.
>
> Es wird RSA verwendet, wenn "certbot" ohne diesbezügliche Parameter
> aufgerufen wird.
Also bei meinem certbot nicht (aber das soll wohl versionsabhängig sein!)
> > Ich nutze immer ein Script wie diese, um beide Typen bei unserem
> > Anbieter (Sectigo) via ACME zu erzeugen:
> [...]
>
> Und Du bindest dann nur das RSA-Zertifikat bzw. den RSA-Schlüssel in
> Postfix ein?
Nee, beide:
# Certbot RSA:
smtpd_tls_cert_file = /etc/letsencrypt/live/mail-cbf.charite.de/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail-cbf.charite.de/privkey.pem
# Certbot EC:
smtpd_tls_eccert_file = /etc/letsencrypt/live/ec-mail-cbf.charite.de/fullchain.pem
smtpd_tls_eckey_file = /etc/letsencrypt/live/ec-mail-cbf.charite.de/privkey.pem
> Wenn ja, wäre das gleich wir bei mir, nur dass ich "Let's Encrypt" als
> Zertifizierungsstelle verwende.
>
> Gibt es dazu ein "best practice"? Welche Chiffremethode mit welcher
> Schlüssellänge soll für einen SMTP-Server verwendet werden?
Das BSI empfiehlt "ab jetzt": mind. 3000 Bit RSA (3072 wäre das wohl)
und mind. 250 Bit bei elliptic curve (ECDH, ECDSA)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf?__blob=publicationFile&v=9
(Tabelle 1.2 Seite 19)
--
[*] sys4 AG
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Mehr Informationen über die Mailingliste postfix-users