Re: Zertifikat für Mailserver

Philipp Resch philipp at devh.de
Mi Okt 12 09:30:36 CEST 2016


Am 11.10.2016 um 13:23 schrieb Jochen Fahrner:
> Am 11.10.2016 um 13:09 schrieb Markus Gonzalez:
>>
>> Ich bin lediglich der Meinung, das Geheimdienste "entschlüsseln" können,
>> wenn diese das wirklich wollen....
> 
> Können Sie nicht.
> http://www.heise.de/security/artikel/SSH-SSL-IPsec-alles-kaputt-kann-das-weg-2514013.html
> 
> Und selbst wenn es Ihnen im Einzelfall gelingen würde, kann man damit
> immer noch keine Massenüberwachung realisieren.
> 
> 

Ich fahre hier den Ansatz: Lieber mehr verschlüsseln als weniger. Selbst
wenn irgendeine Instanz es irgendwie mitlesen könnte, würde es im
mindesten Fall Aufwand bedeuten. Und selbst wenn immer von "unbegrenzten
Resourcen" die Rede ist - komplett unbegrenzt sind die auch nicht. Also
ist etwas mehr Aufwand bei vielen Kleinigkeiten auf einmal großer
Aufwand. Die Hoffnung ist "indirekter DDoS" :D
Und das einmalige einrichten von TLS ist auf Postfix ja nun wirklich
kein Hexenwerk, sei es ein Selfsigned oder ein "vertrauenswürdiges"
Zertifikat. Wie vertrauenswürdig die sind haben verschiedene CAs ja die
letzten Monate eindrucksvoll bewiesen...
Tatsächlich vertraue ich Let's Encrypt mittlerweile deutlich mehr als
irgendeinem WoSign/StartCom...

>> Für mich keinen erkennbaren Unterschied, sehe sogar eher einen
>> Sicherheitsaspekt in "self-signed", denn ich werde meine Keys zur
>> Entschlüsselung bestimmt nicht an NSA und & Co. verkaufen und auch keine
>> Hintertüren einbauen.
>>
>>
> 
> Auch bei einem, durch eine CA zertifizierten Zertifikat, verlässt dein
> private Key niemals deinen eigenen Rechner. Ein CSR enthält nur den
> public Key. Sicherheitstechnisch bringt ein selbst signieren keinen Vorteil.
> 




Mehr Informationen über die Mailingliste postfix-users