Re: Icedove spricht nicht mehr mit Dovecot
On 26.03.2013 20:49, Christian Knoke wrote:
> Paul Muster schrieb am 26. Mar um 20:09 Uhr:
>> Leider nicht. Wireshark zeigt im TLS-Dialog zwischen der Mitteilung des
>> Server-Zertifikats an den Client und dessen Ablehnung keinerlei
>> HTTP-Traffic - und somit auch keine OSCP-Anfrage, die scheitern könnte.
>> (Es hätte ja sein können, dass Icedove fragt (und scheitert), obwohl
>> kein OSCP-Server im Zertifikat steht.)
>
> Die CA auf deinem Server funktioniert nicht. Du wirst sie debuggen müssen.
Nein. "Die CA" "funktioniert" sehr gut.
> Sieht man auch daran, das SMTP auch nicht geht.
Das ist Unsinn, sorry. Einerseits, weil man daran nicht ein
"Nicht-Funktionieren der CA" festmachen kann - was auch immer das genau
sein soll, s.u. Andererseits, weil SMTP/STARTTLS doch durchaus richtig
funktioniert, wenn das Serverzertifikat manuell akzeptiert wird. Da
hatte ich eine Fehlermeldung von Icedove nicht richtig gelesen.
> Das einzelne Mailclients
> gehen, bedeutet nichts. Die vertrauen halt blind.
Nein, das ist nicht der Fall.
> Wenn das CA-Cert im Mailclient importiert ist (also lokal abgespeichert),
> dann verlässt sich Icedove darauf vermutlich. Er prüft also die Signatur
> des von Dovecot gesendete Zertifikat anhand des lokal abgespeicherten
> Signaturzertifikates.¹
Ja, genau das ist Sinn der Sache.
> Der bereits genannte Workaround ist, die Zertifikate lokal abzuspeichern.
Das ist Bastelkram als Notlösung, der einen - regelmäßig anstehenden -
Tausch der Serverzertifikate nicht übersteht.
> ¹ Dies schlägt fehl ... nur um es nochmal explizit zu schreiben.
> Fehlermöglichkeiten gibt es viele. Fehlerhafte Zertifikate, fehlerhafte CA,
> kein Zugriff auf die CA möglich ... Du hast die Liste von IBM ja
> gesehen.
Was bitte soll deiner Meinung nach eine "fehlerhafte CA" denn sein? Und
was für ein "Zugriff auf die CA" soll unmöglich sein? Ist dir klar, was
eine CA technisch ist? Auch nix anderes als ein Schlüsselpaar.
mfG Paul
Reply to: