[Eisfair] Warnungen bei SSL fetchmail

[Marcus Roeckrath]

Hallo Detlef,

Detlef Paschke wrote:

>> Enthalten sind im wesentlichen die Mozilla-Zertifikatssammlung.
>> 
> nun ja, es ist auf jeden Fall ein geschmeidiger Weg für die
> Mail-Einrichtung. Interessant wäre einmal die Frage, ob man bzw. jemand
> der sich auskennt sich nicht dieses Sammzertifikat-Paket zu nutze machen
> könnte.

Vielleicht findet sich ja hier jemand, der mit einem solchen Paket in die
eisfair-Paketentwicklung einsteigen will.

Hier ein paar Gedanken:

Es gibt ein Script im Perl-Paket, welches das Mozilla-Bundle runterlädt und
als eine crt-Datei (alle Zertifikate in dieser Datei) ablegt:

Das Script heisst:

/usr/lib/perl5/site_perl/5.16.2/Mozilla/mk-ca-bundle.pl

Allerdings ist da ein alte Mozilla-URL drin, die ein altes Bundle von 2012
runterlädt. Schaut man sich bei Mozilla um, findet man auf

http://www.mozilla.org/en-US/about/governance/policies/security-group/certs/included/

den richtigen Link zu den Raw-Daten:

http://mxr.mozilla.org/mozilla-central/source/security/nss/lib/ckfw/builtins/certdata.txt

Das Script legt beim Download die Dateien

certdata.txt : Raw-Mozilla-Zertifikats-Datei
ca-bundle.crt: Alle ins pem-Format gewandelten Zertifikate an

Aus dieser Datei wären alle Zertifikate nach /var/certs/ssl/certs
als .pem-Dateinen abzuspeichern und abschliessend ein Rehash durchzuführen.

Was könnte nun das Paket machen:

Der Paketmaintainer extrahiert die Zertifikate auf seinem System, das Paket
bestünde eben aus einer Zertifikatssammlung; neue Zertifikate -> neues
Paket.

Oder das Paket bringt ein Script mit, dass im Menu manuell nach
Anwenderwunsch aufgerufen wird und definiert (konfigurierbar) einen
cron-Job.

> Das aktuelle Server-Zertifikat würde ja dann mit mail-addon-cert 
> geladen werden. [...] Oder müsste
> man den überhaupt die erste Einrichtung vornehmen? Wenn ein falscher
> (Fantasie) Fingerprint in der Config steht greift doch mail-addon-cert
> ein und Korrigiert diesen oder?

Ja, das funktioniert; Du kannst einfach 00:00:00:.... als Fake-Fingerprint
eingeben; das löst dann den Mismatch aus und der korrekte Fingerprint wird
nach Download des Zertifikats eingetragen.

Zu beachten ist hierbei unbedingt, nicht für verschiedene Provider den
gleichen Fake-Fingerprint gleichzeitig zu benutzen; für einen zweiten
Provider also dann 11:11:11:.... oder so.

Und der Fake-Fingeprint muss die korrekte Länge haben.

> In der Config vom Vmail-Paket auf eisfair-ng braucht man eben nur die
> Option ssl eingeben und alles ist gut.
> Das könnte evtl. aufgegriffen werden.

Ist ja mit obigem Trick auch nicht mehr notwendig.

Ich habe mir cui-vmail für eisfair-ng angesehen, kann da aber nirgends Code
entdecken, der bei ssl=yes das Zertifikat downloadet und den Fingerprint in
die Konfiguration (mysql-Datenbank; Tabelle fetchmail, Feld sslfingerprint)
einträgt.

-- 
Gruss Marcus