Re: Icedove spricht nicht mehr mit Dovecot

To: debian-user-german@lists.debian.org
Subject: Re: Icedove spricht nicht mehr mit Dovecot
From: Paul Muster <exp-311213@news.muster.de1.cc>
Date: Sun, 31 Mar 2013 22:03:08 +0200
Message-id: <[🔎] schm2a-18v.ln1@news.muster.de1.cc>
Reply-to: reply-to@news.muster.de1.cc
In-reply-to: <[🔎] 20130326212426.GB20848@leo.home.cknoke.de>
References: <[🔎] 4rn52a-17q.ln1@news.muster.de1.cc> <[🔎] 20130326184319.60a5131f@mobil.bassdart.dyndns.org> <[🔎] ub892a-1ja.ln1@news.muster.de1.cc> <[🔎] 20130326194928.GA18762@leo.home.cknoke.de> <[🔎] add92a-p4e.ln1@news.muster.de1.cc> <[🔎] 20130326212426.GB20848@leo.home.cknoke.de>

On 26.03.2013 22:24, Christian Knoke wrote:
> Du schriebst am 26. Mar um 21:35 Uhr:

>> Das ist Unsinn, sorry. Einerseits, weil man daran nicht ein
>> "Nicht-Funktionieren der CA" festmachen kann - was auch immer das genau
>> sein soll, s.u. Andererseits, weil SMTP/STARTTLS doch durchaus richtig
>> funktioniert, wenn das Serverzertifikat manuell akzeptiert wird. Da
>> hatte ich eine Fehlermeldung von Icedove nicht richtig gelesen.
> 
> Du verwechselst das Funktionieren des Zertifikats beim Aufbau der Verbindung
> zum Anwendungsserver (Dovecot) mit der Authorisierung des Zertifikates durch
> die CA.

Nein, verwechsle ich nicht. Aber du hast Recht, es war mir nur 99% klar,
dass es die Signatur der CA "unter" dem Serverzertifikat war, bei der
MD5 nicht mehr akzeptiert wurde.

> Das Zertifikat funktioniert natürlich, weil es vom Anwendungsserver
> selbst ausgesendet wird.

Das ist nicht der Punkt. Es wird/wurde akzeptiert, wenn/weil es manuell
explizit als vertrauenswürdig bezeichnet wurde. Dabei ignoriert Icedove
offenbar die niedrige Stufe MD5, mit der die (unbekannte) CA das
Zertifikat unterschrieben hat(te). Ist ja auch einigermaßen schlüssig.
Dass Icedove allerdings dann _doch_ wieder keine Verbindung mit dem
Server aufnahm, wenn das CA-Zertifikat ebenfalls manuell eingetragen
wurde, das ist nicht schlüssig und irgendwie unsinnig.

>  Der Anwendungsserver authentifiziert sich, nicht
> der Client.  Der Client identifiziert sich später per Passwort.

Ja, richtig. (Oder der Client zeigt ein Client-Zertifikat vor oder oder
oder. Das ist aber eine Ebene über dem Transport auf der Applikationsebene.)

> Icedove will das Zertifikat aber nicht verwenden. Er möchte die
> Authorisierung des Zertifikates überprüfen, das schlägt fehl.

Naja, dafür gibt es einerseits die klare Fehlermeldung: "Issuer
Certificate Unknown", d.h. die CA ist nicht bekannt/nicht
vertrauenswürdig. Andererseits - bei bekannter CA aber zu niedriger
Stufe (eben MD5) - schlägt der Verbindungsaufbau kommentarlos fehl.

> Ja. Das von dovecot benutze Serverzertifikat muss mit dem privaten Schlüssel
> der CA signiert sein, und der öffentliche Schlüssel der CA sollte vom
> CA-Server downloadbar sein - sonst ist es Bastelkram ...

Das ist gegeben, daher ist es ja eben _kein_ Bastelkram. :-)

mfG Paul

Reply to:

Follow-Ups:
- Re: Icedove spricht nicht mehr mit Dovecot
  - From: Christian Knoke <chrisk@cknoke.de>

References:
- Icedove spricht nicht mehr mit Dovecot
  - From: Paul Muster <exp-311213@news.muster.de1.cc>
- Re: Icedove spricht nicht mehr mit Dovecot
  - From: Manfred Schmitt <expires-130331@slashproc.org>
- Re: Icedove spricht nicht mehr mit Dovecot
  - From: Paul Muster <exp-311213@news.muster.de1.cc>
- Re: Icedove spricht nicht mehr mit Dovecot
  - From: Christian Knoke <chrisk@cknoke.de>
- Re: Icedove spricht nicht mehr mit Dovecot
  - From: Paul Muster <exp-311213@news.muster.de1.cc>
- Re: Icedove spricht nicht mehr mit Dovecot
  - From: Christian Knoke <chrisk@cknoke.de>

Prev by Date: Re: Effekte, die nicht gefallen
Next by Date: Re: Effekte, die nicht gefallen
Previous by thread: Re: Icedove spricht nicht mehr mit Dovecot
Next by thread: Re: Icedove spricht nicht mehr mit Dovecot
Index(es):
- Date
- Thread