SMTP mit self-signed Zertifikat

13/04/2014 - 20:28 von Peter Mairhofer | Report spam
Hi,

Nur zur Sicherheit - riskiere ich, dass bestimmte Mailserver meine Mails
verweigern oder umgekehrt nicht ausliefern wenn ich SSL anbiete, aber
ein self-signed Zertifikat verwende?


LG
Peter



Hintergrund: Habe seit einigen Jahren meinen privaten SMTP am Laufen
(in- und outbound) - ich biete auch TLS/SSL (Ports 25 mit STARTTLS, 465,
587), mit offiziellem StartCom Zertifikat.
Nun bin ich vom StartCom Desaster (e.g., [1]) betroffen - das Zertifikat
laeuft aber in 4 Wochen aus. Als Ueberbrueckung wurde ich nun
self-signed Zertifikate verwenden. Clientseitig ist das verkraftbar -
der Personenkreis der auf die Dienste zugreift ist eingeschraenkt. Aber
ich moechte nicht dass die Wahrschelichkeit besteht dass irgendwelche
Mailserver durch das self-signed Zertifikat nicht an meinen Server
zustellen oder annehmen.

Alternative: Ich nehme erstelle ein neues Zertifikat auf einen falschen
CN (z.B. mail-temp.example.com oder mail-temp-heartbleed.example.com
statt mail.example.com). Aber ich glaube das ist schlimmer als einfach
self-signed zu sein oder?





[1] https://bugzilla.mozilla.org/show_bug.cgi?id™4478
 

Lesen sie die antworten

#1 Paul Muster
13/04/2014 - 21:10 | Warnen spam
On 13.04.2014 20:28, Peter Mairhofer wrote:

Nur zur Sicherheit - riskiere ich, dass bestimmte Mailserver meine Mails
verweigern oder umgekehrt nicht ausliefern wenn ich SSL anbiete, aber
ein self-signed Zertifikat verwende?



Nö. Kaum ein SMTP-Server beachtet das Zertifikat.

Durchaus jedoch Clients - berechtigterweise, schließlich schicken sie
dorthin ihr Passwort.

Hintergrund: Habe seit einigen Jahren meinen privaten SMTP am Laufen
(in- und outbound) - ich biete auch TLS/SSL (Ports 25 mit STARTTLS, 465,
587), mit offiziellem StartCom Zertifikat.
Nun bin ich vom StartCom Desaster (e.g., [1]) betroffen - das Zertifikat
laeuft aber in 4 Wochen aus. Als Ueberbrueckung wurde ich nun
self-signed Zertifikate verwenden.



Das verstehe ich nicht. Was machst du dann in vier Wochen?

Alternative: Ich nehme erstelle ein neues Zertifikat auf einen falschen
CN (z.B. mail-temp.example.com oder mail-temp-heartbleed.example.com
statt mail.example.com).



Wozu das? Irgendwie fehlt mir noch der springende Punkt. Bekommt man bei
startssl.com kein neues Zert. auf denselben Namen oder was ist das Problem?


mfG Paul

Ähnliche fragen