[Eisfair] Probleme beim Mailabruf

Marcus Röckrath marcus.roeckrath at gmx.de
Mi Dez 4 16:38:37 CET 2024 

Hallo Stefan,

Stefan Puschek wrote:

>> > Ich denke, es ist genau diese Änderung:
>> > 
>> >  * The default SSL/TLS security level has been changed from 1 to 2.
>> > RSA, DSA and DH keys of 1024 bits and above and less than 2048 bits
>> > and ECC keys
>> >    of 160 bits and above and less than 224 bits were previously
>> > accepted by default but are now no longer allowed. By default TLS
>> > compression was already disabled in previous OpenSSL versions. At
>> > security level 2 it cannot be enabled.
>> > 
>> > Zertifikate, die diesen Bedingungen nicht mehr genügen, werden
>> > generell Probleme machen - nicht nur mit dovecot - und müssen durch
>> > neue ersetzt werden.
>> 
>> schubs mich bitte mal vom Schlauch: wo und wie?
>> 
>> _NOCH_ habe ich das Problem nicht, aber wer weiss...
> 
> vergiss es...
> Transportsicherheit = keine
> verschlüsseltes Password
> 
> ich bin nicht gefährdet :)

Vielleicht an dieser Stelle nicht, wenn du den lokalen Mailabruf 
unverschlüsselt tätigst.

Das lokale Zertifikat des Servers kann aber auch für web (apache2) und 
andere Dienste genutzt sein und dann kann es dann doch zum Problem werden:

openssl 3.2 erfordert nun

RSA/DSA/DH Keys der Mindestlänge 2048 Bits
ECC Keys der Mindestlänge 224 Bits

Solche werden schon eine Weile auch vom Certs-Paket so erzeugt, aber es gibt 
betimmt noch Systeme, auf den "kleinere" Keys erzeugt wurden, die openssl 
nun nicht mehr akzeptiert.

Mit openssl kann man die entsprechenden Dateien inspizieren:

Nehmen wir mal an, das Zertifikat wurde unter dem Namen server.local.lan 
erzeugt.

openssl x509 -text -in /var/certs/ssl/certs/server.local.lan.pem

ergibt (gekürzt) die Ausgabe:

        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)

Das Zertifikat weist die erforderliche Mindeslänge auf.

openssl dhparam -text -in /var/certs/ssl/newcerts/server.local.lan.dh

gibt (gekürzt) folgendes aus:

    DH Parameters: (2048 bit)

Auch hier passt die geforderte Mindestlänge.

Liegt eines von beiden darunter, sollte man das lokale Zertifikat neu 
erzeugen.

-- 
Gruß Marcus
[eisfair-Team]

Mehr Informationen über die Mailingliste Eisfair