Re: Icedove spricht nicht mehr mit Dovecot
Paul schrieb am 31. Mar um 22:03 Uhr:
> On 26.03.2013 22:24, Christian Knoke wrote:
> > Du schriebst am 26. Mar um 21:35 Uhr:
>
> >> Das ist Unsinn, sorry. Einerseits, weil man daran nicht ein
> >> "Nicht-Funktionieren der CA" festmachen kann - was auch immer das genau
> >> sein soll, s.u. Andererseits, weil SMTP/STARTTLS doch durchaus richtig
> >> funktioniert, wenn das Serverzertifikat manuell akzeptiert wird. Da
> >> hatte ich eine Fehlermeldung von Icedove nicht richtig gelesen.
> >
> > Du verwechselst das Funktionieren des Zertifikats beim Aufbau der Verbindung
> > zum Anwendungsserver (Dovecot) mit der Authorisierung des Zertifikates durch
> > die CA.
>
> Nein, verwechsle ich nicht. Aber du hast Recht, es war mir nur 99% klar,
> dass es die Signatur der CA "unter" dem Serverzertifikat war, bei der
> MD5 nicht mehr akzeptiert wurde.
meine Aussage war, das Icedove das Zertifikat nicht prüft, wenn es ihm aus
anderen Gründen vertraut, und das für die Verbindung zu dovecot generell
keine Prüfung notwendig ist, da reicht der korrekte Schlüssel im Zertifikat.
> > Das Zertifikat funktioniert natürlich, weil es vom Anwendungsserver
> > selbst ausgesendet wird.
>
> Das ist nicht der Punkt. Es wird/wurde akzeptiert, wenn/weil es manuell
> explizit als vertrauenswürdig bezeichnet wurde. Dabei ignoriert Icedove
> offenbar die niedrige Stufe MD5, mit der die (unbekannte) CA das
> Zertifikat unterschrieben hat(te). Ist ja auch einigermaßen schlüssig.
> Dass Icedove allerdings dann _doch_ wieder keine Verbindung mit dem
> Server aufnahm, wenn das CA-Zertifikat ebenfalls manuell eingetragen
> wurde, das ist nicht schlüssig und irgendwie unsinnig.
doch, das ist sinnig.
Icedove wird eine Hierarchie haben:
1. vertraue importierten Zertifikaten ohne Prüfung
2. wenn das CA-Zertifikat ebenfalls importiert ist, prüfe doch
3. Server-Zertifikate sind zu prüfen
4. Falls Prüfung nicht möglich, reicht manuelle Bestätigung
5. Falls Prüfung fehlschlägt, Abbruch
das letzte wäre dann dein Fall.
> > Der Anwendungsserver authentifiziert sich, nicht
> > der Client. Der Client identifiziert sich später per Passwort.
>
> Ja, richtig. (Oder der Client zeigt ein Client-Zertifikat vor oder oder
> oder. Das ist aber eine Ebene über dem Transport auf der Applikationsebene.)
>
> > Icedove will das Zertifikat aber nicht verwenden. Er möchte die
> > Authorisierung des Zertifikates überprüfen, das schlägt fehl.
>
> Naja, dafür gibt es einerseits die klare Fehlermeldung: "Issuer
> Certificate Unknown", d.h. die CA ist nicht bekannt/nicht
> vertrauenswürdig.
das war ja nicht der Fall, das CA-Zertifikat war bekannt und (weil
importiert) auch vertrauenswürdig.
> Andererseits - bei bekannter CA aber zu niedriger
> Stufe (eben MD5) - schlägt der Verbindungsaufbau kommentarlos fehl.
"unbekannter Fehler"
> > Ja. Das von dovecot benutze Serverzertifikat muss mit dem privaten Schlüssel
> > der CA signiert sein, und der öffentliche Schlüssel der CA sollte vom
> > CA-Server downloadbar sein - sonst ist es Bastelkram ...
>
> Das ist gegeben, daher ist es ja eben _kein_ Bastelkram. :-)
Also jetzt hast du das (neue) CA-Zertifikat im Icedove, das
Mailserverzertifikat jedoch nicht, und alles läuft?
Gruß
Christian
--
Christian Knoke * * * http://cknoke.de
* * * * * * * * * Ceterum censeo Microsoft esse dividendum.
Reply to: