[Eisfair] Certs: Sektionen im server.pem

Alexander Dahl lespocky at web.de
Sa Feb 27 18:57:45 CET 2016


Hallo Marcus,

ich vermute, Du bringst da noch ein paar Dinge durcheinander. ;-)

Marcus Roeckrath schrieb Samstag, 27. Februar 2016, 18:38 (CET):
> Wenn ich mir das Zertifikat eines Provider-Mailserver hole, importiere ich
> ja auch ein pem auf dem eis.

Ja weil openssl Dir das im .pem Format ausgibt. Hast Du Dir das mal mit
tcpdump oder wireshark angeschaut? Ich wette das geht da nicht in dem
Format über die Leitung, sondern openssl wandelt das vor der Ausgabe
nochmal um?!

> Bei exim muss man genau dieses tun, um eine verschlüsselte Verbindung zu
> initiieren; nur wenn der lokal gespeicherte Schlüssel mit dem vom Provider
> übermittelten Zertifikats übereinstimmt, kommt eine Verbindung zustande.

Für den Aufbau einer SSL-Verbindung ist auf Client-Seite keine
Zertifikatsdatei nötig. Sonst wäre https praktisch unbrauchbar.

> fetchmail vergleicht das über den Fingerprint; habe aber noch nie
> ausprobiert, ob man nun das Serverzertifikat wieder löschen könnte.

Wir reden hier ja über asymmetrische Krypto. Der Server gibt Dir nur
seinen öffentlichen Schlüssel. Was bei eis jetzt gemacht wird ist zu
prüfen, ob das der öffentliche Schlüssel ist, den man auch beim letzten
Mal gesehen hat. Das erhöht ein wenig die Sicherheit, ist aber nicht
obligatorisch.

> Der Abruf des Zertifikats beim Privider liefert natürlich nur das reine
> Zertifikat aus.

Quasi den öffentlichen Teil. Der private verbleibt immer auf dem Server.

> Ich denke, dass es schon Sinn machen kann, ein Zertifikat - und nichts
> anderes ist ja das server.pem - auf einem Client zu installieren.

Der private Teil des Serverzertifikats hat ausschließlich auf dem Server
zu sein, nirgends sonst!

> Wenn man nun zu diesem Zweck einfach die Zertifikatsdatei komplett mittels
> Datenträger überträgt, steht man nun in der Gefahr private Schlüsselteile
> preiszugeben.

Ja logisch, aber das ist so doch auch überhaupt nicht vorgesehen. Wenn
Du den privaten Schlüssel vom Server irgendwo hin kopierst, machst Du
grundsätzlich was falsch. Wenn überhaupt, kannst Du maximal den
öffentlichen Teil kopieren.

Bei SSL heißt der private Teil oft "key" und der öffentliche "cert" aber
genau geht das aus den Headern in den Blöcken im .pem File hervor.
Nochmal: der private Teil bzw. Key verbleibt auf dem Server. Du kopierst
den NICHT auf irgendwelche anderen Rechner!

> Also ist hier einfach Vorsicht angesagt und vor einem Transfer das pem zu
> bereinigen.

Ein Transfer ist doch meistens gar nicht nötig. Wieso willst Du die
Schlüssel überhaupt vom Server runter kopieren? o.O

Grüße
Alex

-- 
***** http://blog.antiblau.de/ *****************************
GnuPG-FP: C28E E6B9 0263 95CF 8FAF  08FA 34AD CD00 7221 5CC6


Mehr Informationen über die Mailingliste Eisfair