E-Mails verwalten mit div. Geräten

[Lohengrin]

Dass man Warnungen bekommt, weil man selber als Autorität nicht anerkannt ist, gehört dazu. Dazu muss man sich dann fragen, warum man bei den etablierten Autoritäten keine Warnung bekommt, und ob man das tatsächlich so haben will.

Du kannst das Vertrauen gegenüber CAs ohne Probleme selbst beschränken.

Ja schon. Aber das macht man erst, wenn man verstanden hat, was da überhaupt läuft. Und dann hat man auch kein Problem mehr mit einem selbstgebratenen Zertifikat.

LetsEncrypt ist kein kommerzieller, gewinnorientierter Anbieter, der mit deinen Daten Geld verdienen will.

Ich halte das Prinzip X.509 für fundamental faul. Ob LetsEncrypt oder Cacert ist ein Kompromiss. Selbstgebraten finde ich besser.
Bei dezidiert nichtkommerziellen, nichtgewinnorientierten Organisationen denke ich an die vielen NGOs. Das beruhigt mich nicht. Das alarmiert mich.

[bluestar]

Ja schon. Aber das macht man erst, wenn man verstanden hat, was da überhaupt läuft. Und dann hat man auch kein Problem mehr mit einem selbstgebratenen Zertifikat.

Ich rate einem Anfänger grundsätzlich zu einfachen Lösungen, LetsEncrypt stellt eine entsprechende dar.

Ich halte das Prinzip X.509 für fundamental faul.

Dann darfst du SSL - mit allen Konsequenzen - nicht verwenden.

Ob LetsEncrypt oder Cacert ist ein Kompromiss.

Von der Sicherheit her, ist LetsEncrypt deiner eigenen CA garantiert Zertifikaten überlegen.

[Lohengrin]

Ich rate einem Anfänger grundsätzlich zu einfachen Lösungen, LetsEncrypt stellt eine entsprechende dar.

Das, was ich vorschlage, geht mit Bordmitteln. openssl ist bereits installiert. Eine Anleitung dazu findet man sofort im Web.

Ich halte das Prinzip X.509 für fundamental faul.

Dann darfst du SSL - mit allen Konsequenzen - nicht verwenden.

Wenn ich mit irgendeinem Emailprogramm, zB Thunderbird, per IMAP mit Verschlüsselung Emails abrufen will, komme ich um SSL nicht herum. Das Faule an SSL ist, dass man da eine Autorität braucht, die einem die Identität bestätigt. Sich selbst zur Autorität zu erklären, ist nicht im Sinne des Erfinders von SSL, aber es funktioniert.

Von der Sicherheit her, ist LetsEncrypt deiner eigenen CA garantiert Zertifikaten überlegen.

Das sehe ich genau anders herum.
Wenn ich mein Root-Zertifikat auf meine Webseite stelle und dazu eine OpenPGP-Unterschrift, dann kann der Benutzer die Echtheit per Web-Of-Trust gemäß OpenPGP überprüfen. Er braucht dann nicht mehr LetsEncrypt zu vertrauen.

[DeletedUserReAsG]

Das, was ich vorschlage, geht mit Bordmitteln. openssl ist bereits installiert. Eine Anleitung dazu findet man sofort im Web.

… vorausgesetzt, die Seiten mit den Anleitungen haben keine selbstsignierten Zertifikate. Ansonsten kann ein „Nur-Anwender“ ernsthafte Probleme bekommen, drauf zuzugreifen – je nach Browser. scnr

Ich kann nun nicht sagen, ob openssl tatsächlich nach einer Installation schon vorhanden ist (kann mich aber erinnern, es das eine oder andere Mal manuell nachinstalliert zu haben), aber certbot sollte man schneller installiert haben, als sich ’ne Anleitung zum Selbstsignieren rauszusuchen und umzusetzen.

Sich selbst zur Autorität zu erklären, ist nicht im Sinne des Erfinders von SSL, aber es funktioniert.

… und hebelt nebenbei den Schutz dagegen aus, dass sich jeder als du ausgeben, und seine eigenen Zertifikate ebenfalls selbst signieren kann. Bei dir selbst kannst du deine eigene CA hinterlegen. Im engeren Bekanntenkreis mag’s auch noch gehen, wenngleich da schon mit Widerständen zu rechnen ist, und es einen Haufen Arbeit erfordert. Aber jeder andere kann schon nicht mehr sehen, ob du das Ding nun signiert hast, oder jemand anderes in der Mitte sitzt.

Oder glaubst du tatsächlich, irgendjemand würde sich die Mühe machen, den Fingerprint der CA der Seite zu laden, deine GPG-Signatur dazu zu laden (von wo eigentlich – auf die Seite gibt’s an der Stelle ja noch keinen Zugriff?), deinen öffentlichen Schlüssel zu besorgen, zu gucken, ob die CA wirklich von dir signiert wurde und dann erst die Warnung des Browsers wegzuklicken?

[Lohengrin]

Das, was ich vorschlage, geht mit Bordmitteln. openssl ist bereits installiert. Eine Anleitung dazu findet man sofort im Web.

… vorausgesetzt, die Seiten mit den Anleitungen haben keine selbstsignierten Zertifikate. Ansonsten kann ein „Nur-Anwender“ ernsthafte Probleme bekommen, drauf zuzugreifen – je nach Browser. scnr

Nix hier scnr! Der Hinweis ist richtig und wichtig.
Für eine Webseite, die gewöhnliche Leute lesen sollen, taugt das mit selbstgebratenen Zertifikaten nicht.

Es geht hier um grundlegendes Verständnis und den eigenen IMAP-Server, den nur ein paar ausgesuchte Leute benutzen werden.
Das auf HTTPS zu benutzen, ist nur zum Herumspielen gedacht.

[bluestar]

Es geht hier um grundlegendes Verständnis und den eigenen IMAP-Server, den nur ein paar ausgesuchte Leute benutzen werden.

Und zu grundlegendem IMAP-Server Verständnis zählst du den kompletten Aufbau einer eigenen CA, samt Verteilung selbiger über unterschiedliche Geräte?

[Lohengrin]

Es geht hier um grundlegendes Verständnis und den eigenen IMAP-Server, den nur ein paar ausgesuchte Leute benutzen werden.

Und zu grundlegendem IMAP-Server Verständnis zählst du den kompletten Aufbau einer eigenen CA, samt Verteilung selbiger über unterschiedliche Geräte?

Es geht um genau ein Zertifikat.
Man baut es mit einem oder zwei Befehlen und kopiert das Ergebnis an die richtige Stelle in dem Gerät, worauf der IMAP-Server läuft.
Die Verteilung erfolgt, indem man mit irgendeinem Emailprogramm den IMAP-Server kontaktiert, den Fingerabdruck überprüft, und dann auf "Ja, ich habe verstanden, dass ich hier etwas ganz Schlimmes tue, weil kein vertrauenswürdiger Anbieter so ein Zertifikat verwenden würde!" klickt.

[bluestar]

Die Verteilung erfolgt, indem man mit irgendeinem Emailprogramm den IMAP-Server kontaktiert, den Fingerabdruck überprüft, und dann auf "Ja, ich habe verstanden, dass ich hier etwas ganz Schlimmes tue, weil kein vertrauenswürdiger Anbieter so ein Zertifikat verwenden würde!" klickt.

Leider ist dies bei iOS, Mac und Android Geräten durch die Bank weg aufwendiger.

Ich ergänze mal die Frage an dich: Geht es hier um einen einfachen Mailserver für einen Anfänger mit geringen Grundkenntnissen oder um komplexe Fragen zu SSL/CA/Sicherheit?

[Lohengrin]

Die Verteilung erfolgt, indem man mit irgendeinem Emailprogramm den IMAP-Server kontaktiert, den Fingerabdruck überprüft, und dann auf "Ja, ich habe verstanden, dass ich hier etwas ganz Schlimmes tue, weil kein vertrauenswürdiger Anbieter so ein Zertifikat verwenden würde!" klickt.

Leider ist dies bei iOS, Mac und Android Geräten durch die Bank weg aufwendiger.

Das wusste ich nicht. Danke für die Info! Andererseits hätte ich mir das auch denken können.

Ich ergänze mal die Frage an dich: Geht es hier um einen einfachen Mailserver für einen Anfänger mit geringen Grundkenntnissen oder um komplexe Fragen zu SSL/CA/Sicherheit?

Wenn das mit selbstgebratenen Zertifikaten auf Smartphone mit Tamtam verbunden ist, dann schließe ich mich dir an, dann soll ZeroFlag es mit LetsEncrypt machen.
Wer sein Smartphone in Default-Konfiguration zum Emailen benutzt, braucht sich keine Gedanken über die Vertrauenswürdigkeit von LetsEncrypt zu machen.

[DeletedUserReAsG]

Zwar OT, aber interessiert sicher auch andere:

Wer sein Smartphone in Default-Konfiguration zum Emailen benutzt, braucht sich keine Gedanken über die Vertrauenswürdigkeit von LetsEncrypt zu machen.

Was genau ist dein Kritikpunkt an LetsEncrypt, bzw., an welcher Stelle erscheint es dir nicht vertrauenswürdig? Es signiert dir dein Zertifikat, wenn du’s für eine Domain ausgestellt hast, die auf eine Maschine zeigt, auf der du Root-Rechte hast (sprich: Port 443 kontrollierst). Sie wollen weder deine persönlichen Daten, noch deine Schlüssel, noch dein Geld – was erzeugt da soviel Misstrauen bei dir?

[MSfree]

...
Leider ist dies bei iOS, Mac und Android Geräten durch die Bank weg aufwendiger.

Zumindest für iOS stimmt das nicht. Das akzeptier ein selbst signiertes Zertifikat nachdem man einmalig bestätigt hat, daß es nicht verifiziert werden konnte. Auch Android ist da, zumimndest als ich das das letzte Mal machen mußte, völlig unproblematisch. Am zickigsten ist MS Outlook, das nach jedem Start rumnörgelt.

[Lohengrin]

Was genau ist dein Kritikpunkt an LetsEncrypt, bzw., an welcher Stelle erscheint es dir nicht vertrauenswürdig?

Der, den ich an jede Autorität habe. Ich weiß nicht, wem die alles etwas, was auf den Namen, unter dem ich bei denen laufe, ausgestellt ist, bestätigen.
Ob sie es tun, ist egal. Sie könnten. Das reicht schon.

Solange ich den Fingerabdruck kontrollieren kann, und mir nicht hinterrücks ein anderes Zertifikat untergeschoben werden kann, ist das ok. Dann kann ich nämlich diese Autorität ignorieren. Aber was ist mit anderen Leuten, die nicht verstehen, was das Popup mit "Lohengrin hat ein neues Zertifikat [Verstanden]" bedeutet?

Es signiert dir dein Zertifikat, wenn du’s für eine Domain ausgestellt hast, die auf eine Maschine zeigt, auf der du Root-Rechte hast (sprich: Port 443 kontrollierst).

Wenn ich darauf eingehe, haben wir den Thread entführt. Aber ich würde gerne darüber diskutieren. -> neuer Thread.

Sie wollen weder deine persönlichen Daten, noch deine Schlüssel, noch dein Geld – was erzeugt da soviel Misstrauen bei dir?

Das behaupten sie. Es soll glauben wer will. Ich tue es nicht. Wozu eine Sicherheitslücke einbauen, wenn das nicht nötig ist?


Wo ist eigentlich ZeroFlag geblieben? Hoffentlich in Enklave, Server einrichten.