[Eisfair] Re3a Ergc3a4nzung

Marcus Roeckrath marcus.roeckrath at gmx.de
Di Okt 30 13:04:34 CET 2018


Hallo Alex,

Alex Busam wrote:

>> /var/install/bin/certs-request-cert --writecert  pop3 pop.1und1.de
>> 
> hab ich ausgeführt.
> Allerdings funktionierte es weiterhin nicht. Erst als ich die
> Fingerprints rausnahm hat er wieder abgeholt.

Bestimmte Provider tauchen mit schöner Regelmäßigkeit auf, wenn mal wieder
ein Schlüsseltausch nicht reibungslos vonstatten gehzt.

>> Da kannst du auch das Mozilla-Bundle im Menu installieren lassen, indem
>> das Root stecken sollte.
>> 
> Du meinst das "download ca certificate bundle" im certs-Paket?

Ja, das lädt das von Mozilla gepflegte Zertifikatsbundle runter.

> zum Mail Addon certificates:
> das Sicherheitsrisiko besteht darin, dass einfach der fingerprint
> aktualisiert wird, wenn mir jemand ein falsches Zertifikat beim Abholen
> hinstreckt. Habe ich das so korrekt verstanden?

Wenn dir beim Abruf ein falsches Zertifikat untergejubelt wird.

> D.h. ein update=no kann aber das abschalten und so müsste ich bei
> Änderungen z.B. auf dem 1&1 Mailserver einfach wieder manuell Update
> fingerprints...starten?

Ob sich das Skript von alleine bei detektiertem Mismatch startet und du dies
dann manuell tust, spielt keine Rolle.

Wenn du ohne weitere Prüfung per openssl-Aufruf das Zertifikat runterlädst,
ist es ebnso das gleiche.

Bei allen Methoden wird ja auf gleiche Art ein Zertifikat heruntergeladen.

Entscheidend wäre, ob man sich danach vergewissert, ob man auch das richtige
Zertifikat bekommen hat.

Nun stellt sich die Frage, wie ich das als Laie wirklich sicherstelle.

> Was ich gerade erst gelesen hab...es muss natürlich SSL eingeschaltet
> sein, aber auch ein fake-Fingerprint eingetragen sein, damit das Skript
> die Mail-Konfig updatet.

Manchmal hat Doku lesen echte Vorteile. :-))

> Ich schreibe das hier, weil es vielleicht dem 
> ein oder anderen genauso schlechten Doku-Leser hilft:)

Oder Doku lesen nur als etwas für Feiglinge hält. ;-)

-- 
Gruss Marcus


Mehr Informationen über die Mailingliste Eisfair