[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Icedove spricht nicht mehr mit Dovecot

Du schriebst am 26. Mar um 21:35 Uhr:
> On 26.03.2013 20:49, Christian Knoke wrote:
> > Paul Muster schrieb am 26. Mar um 20:09 Uhr:
> 
> >> Leider nicht. Wireshark zeigt im TLS-Dialog zwischen der Mitteilung des
> >> Server-Zertifikats an den Client und dessen Ablehnung keinerlei
> >> HTTP-Traffic - und somit auch keine OSCP-Anfrage, die scheitern könnte.
> >> (Es hätte ja sein können, dass Icedove fragt (und scheitert), obwohl
> >> kein OSCP-Server im Zertifikat steht.)
> > 
> > Die CA auf deinem Server funktioniert nicht. Du wirst sie debuggen müssen.
> 
> Nein. "Die CA" "funktioniert" sehr gut.

Gibt es eine funktionierende Beispielanwendung in deinem Netzwerk?

> > Sieht man auch daran, das SMTP auch nicht geht.
> 
> Das ist Unsinn, sorry. Einerseits, weil man daran nicht ein
> "Nicht-Funktionieren der CA" festmachen kann - was auch immer das genau
> sein soll, s.u. Andererseits, weil SMTP/STARTTLS doch durchaus richtig
> funktioniert, wenn das Serverzertifikat manuell akzeptiert wird. Da
> hatte ich eine Fehlermeldung von Icedove nicht richtig gelesen.

Du verwechselst das Funktionieren des Zertifikats beim Aufbau der Verbindung
zum Anwendungsserver (Dovecot) mit der Authorisierung des Zertifikates durch
die CA.  Das Zertifikat funktioniert natürlich, weil es vom Anwendungsserver
selbst ausgesendet wird.  Der Anwendungsserver authentifiziert sich, nicht
der Client.  Der Client identifiziert sich später per Passwort.

Icedove will das Zertifikat aber nicht verwenden. Er möchte die
Authorisierung des Zertifikates überprüfen, das schlägt fehl.

> > Das einzelne Mailclients
> > gehen, bedeutet nichts. Die vertrauen halt blind.
> 
> Nein, das ist nicht der Fall.

> > Wenn das CA-Cert im Mailclient importiert ist (also lokal abgespeichert),
> > dann verlässt sich Icedove darauf vermutlich.  Er prüft also die Signatur
> > des von Dovecot gesendete Zertifikat anhand des lokal abgespeicherten
> > Signaturzertifikates.¹
> 
> Ja, genau das ist Sinn der Sache.
> 
> > Der bereits genannte Workaround ist, die Zertifikate lokal abzuspeichern.
> 
> Das ist Bastelkram als Notlösung, der einen - regelmäßig anstehenden -
> Tausch der Serverzertifikate nicht übersteht.

Ja.

> > ¹ Dies schlägt fehl ... nur um es nochmal explizit zu schreiben.
> > Fehlermöglichkeiten gibt es viele. Fehlerhafte Zertifikate, fehlerhafte CA,
> > kein Zugriff auf die CA möglich ... Du hast die Liste von IBM ja
> > gesehen.
> 
> Was bitte soll deiner Meinung nach eine "fehlerhafte CA" denn sein? Und
> was für ein "Zugriff auf die CA" soll unmöglich sein? Ist dir klar, was
> eine CA technisch ist? Auch nix anderes als ein Schlüsselpaar.

Ja. Das von dovecot benutze Serverzertifikat muss mit dem privaten Schlüssel
der CA signiert sein, und der öffentliche Schlüssel der CA sollte vom
CA-Server downloadbar sein - sonst ist es Bastelkram ...

Gruß
Christian

-- 
Christian Knoke            * * *            http://cknoke.de
* * * * * * * * *  Ceterum censeo Microsoft esse dividendum.
Reply to: