[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: IMAP und SSL



Christoph Bayer <Christoph.Bayer@alpha.dyndns.tv> wrote:
>> (uw-imapd-ssl statt uw-imapd), das kann aber die Version in potato
[...]

> Genau das Packet habe ich unter Woody installiert und es tut
> fast, was es machen soll: Nur wie installiere ich ein eigenes
> Zertifikat? Ein Programm für SSL mit unsinnigem Zertifikat
> (wie in uw-imapd-ssl), das man nicht ändern kann, ist auch nicht
> das was ich wollte...

Klar kannst du das aendern, du musst nur das pem-File ersetzen.
(zumindest ist das RedHat so, ich kann mir nicht vorstellen, dass das
Debian-Paket kaputt ist)

> Weiss da jemand Rat? Ich würde eigentlich nur ungern von uw-imapd
> wechseln...
[...]

Urgx. X509-Zertifikate sind furchtbar kompliziert, ich bin da noch nie
wirklich durchgestiegen. Wenn du den einfachen Weg gehst und weiterhin
(wie schon stunnel) ein selbst signiertes Zertifikat benutzt verlierst
du nicht viel Sicherheit, du weisst eben vom Client aus nur nicht, ob
der Host mit dem du sprichst wirklich der richtige ist, oder ob man
dich mit wuesten Tricks (IP-Spoofing) auf einen anderen umgeleitet
hat, um dein Passwort zu erraten. Die Situation ist vergleichbar mit
ssh zu einem unbekannten Host, von dem du nicht _vorher_ den
public-Key besorgt hast.

Der steinige Weg ist eine eigene CA aufzubauen, damit ein Zertifikat
ohne Passphrase fuer den IMAP-Server zu signieren, und den Public-Key
der CA bei den Clients einzubinden.

Lesetipps: CA.PL(1ssl)
http://www.openssl.org/ dort ist ein deutschsprachiges Handbuch
verlinkt.
              cu andreas
-- 
Hey, da ist ein Ballonautomat auf der Toilette!
Unofficial _Debian-packages_ of latest _tin_
http://www.logic.univie.ac.at/~ametzler/debian/tin-snapshot/



Reply to: