Hallo. Es gibt ja für SSL wildcard Zertifikate für eine Domain um damit zB einen Webserver abzusichern. Gibt es sowas auch für eMails? Ich finde nur Anbieter die eine eMail Adresse "anbieten". Danke. Martin
Ist es dem Zertifikat nicht egal, ob es einen Mail-,Web- oder sonstwas-Server beglaubigt?
Im Zertifikat muss ja stehen was es genau beglaubigt. Sonst wäre es sinnlos ;-) Auch fur die automatische Prüfung durch die Software. Du willst ja im Mailprogramm nicht die Anzeige das die Mail mit irgendeinen gültigen Zertifikat unterschrieben wurde, du willst die Anzeige das der angezeigte Absender das unterschrieben hat.
Hallo. Im Zertifikat ist festgelegt wofür es verwendet werden kann. zB das letsencrypt Zertifikat von www.mikrocontroller.net als SSL-Server-Zertifikat. Damit lassen sich also keine eMails unterschreiben. Ich glaube das steck im Feld erweiterter Schlüsselgebrauch. Martin
Martin schrieb: > Es gibt ja für SSL wildcard Zertifikate für eine Domain um damit zB > einen Webserver abzusichern. > Gibt es sowas auch für eMails? soweit ich weiß ist das nicht vorgesehen. Hintergrund ist, daß bei der Nutzung von Zertifikaten für Emails ja eine Ende-zu-Ende-Verschlüsselung sowie eine saubere Signatur das Ziel ist. Wildcard-Zertifikate gelten dagegen prinzipiell für die gesamte Domain und sind daher typischerweise nicht Ende-zu-Ende, sondern eher Ende-zu-vielen-Enden oder Ende-zu-Zwischenserver. Das ist nicht das, was der Kommunikationspartner gegenüber bei S/MIME-verschlüsselter oder -signierter Emailkommunikation erwartet.
Hallo. Ich habe noch etwas "rumgesucht". Was und wie genau machen es die Gateway Zertifikate? Martin
Man muss zwischen TLS und S/MIME unterscheiden. Ich verende mein gratis letsencrypt wildcard certificat auch für (start)TLS verbindungen zu mein postfix Mailserver. Ganz sicher ist das zwar trotzdem nicht, einige Mailserver insbesondere vom diversen Mailinglists können kein TLS, deshalb kann man es nicht erzwingen, wodurch MITMs bei eingehenden Nachrichten trotzdem möglich sind. Beim senden von Mails erzwinge ich TLS aber trotzdem. Ich muss irgendwann mal eine art TLS erzwingung für zukünftige Verbindungen ab der ersten erfolgreichen TLS verbindung in meinen Postfix server einbauen, um das einigermassen sicher zu machen. Aber für wirklich sicherheitskritisches nutze ich GPG, dass ist dann wenigstens wirklich ende zu ende verschlüsselt. Zu S/MIME kann ich nichts sagen, wäre eventuell noch interressant ob es irgendwie verwendbar wäre. Ansonsten, grundsätzlich lässt sich jede TCP Verbindung über TLS tunneln, egal welcher Port. PS: Für imap verwende ich Dovecot, ebenfalls mit den selben Zertifikaten.
:
Bearbeitet durch User
Hallo. Für TLS kann man DANE nutzen. In Postfix dann mit einem Scipt eine Liste erstellen mit dane-only für den passenden MX. Bei S/MIME sehe ich den Vorteil, dass fast jeder eMail Client das nativ kann. Nun will ich meinen Postfix erweitern damit er eingehende eMails, die nicht verschlüsselt sind, verschlüsselt: SMILLA. Aber für eine Sammel-eMail Addresse suche ich eine Art wildcard Zertifikat. Martin
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.