imap pres ssl

Dan Ohnesorg dan na fel.cvut.cz
Pátek Leden 23 15:06:14 CET 2004


On Fri, 23 Jan 2004, Pavel Janoušek wrote:

> > -----Original Message-----
> > From: Dan Ohnesorg [mailto:dan na fel.cvut.cz]
> > Self signed certifikat asi moc chodit nebude, minimalne
> > windows XP maji s
> > takovymi certifikaty problemy. Dneska se doporucuje pouzivat vlastni
>
> 	Nemaji, neverte bludum, staci je radne vygenerovat a importovat...:-)

No ja jsem to videl na vlastni oci, admin rekl, ze certifikat musi byt
podepsany certifikacni autoritou, tak jsem takovy zalozil a bylo to hned v
pohode. Importovat se to mohlo nekolikrat a stejne to zlobilo. Mam takovy
pocit, ze zasadni rozdil je v tom, ze import nepodepsaneho certifikatu
skonci nekde v profilu uzivatele, kdezto certifkat CA plati pro cely
pocitac.

> > malonakladove certifikacni autority, ktera je v prohlizecich znama.
>
> 	Coz lze zaridit tak, ze i ja budu duveryhodna CA, ze ano...

Samozrejme, ale ne kazdy umi spustit ./CA -newca a i ti co to umi, jsou po
roce dost prekvapeni, kdyz zjisti, ze tenhle skript nedokaze certifikat
obcerstvit - nedokaze pro stejne hostname udelat novy. Samozrejme mohu
udelat certifikaty s platnosti 10-100 let, ale tak to jaksi nebylo
planovano, certifikat CA ma platit dlouho, certifikaty serveru se maji
pravidelne menit. A venovat den co vice rozjeti OpenCA ne kazdy chce.
nehlede na to, ze porad mam problem jak ten certifkat dodat klientum,
variant je hodne, ale zadna neni tak snadna, jako ta, ze certifkat CA uz
na tom CD je od vyrobce (kolik NT adminu umi udelat custom instalacni CD,
kam si certifkat vlozi, kolik jich ma moznost dopravit certifkat klientovi
pres group policy...)

> > Kazdopadne bych radil zbavit se stunnelu a pouzivat nativni funkce
> > imap/http/smtp serveru. Outlook pokud vim starttls nezvladne,
> > takze musite
> > vyhradit pro ssl spojeni zvastni porty a klienty na ne nastavit.
>
> 	??? Outlook umi SSL na POP3 i IMAP (to jsem ale netestoval),
> stejne tak umi sifrovat via SSL SMTP a umi i SMTP autentizaci, po teto
> strance nevim, co bych o nej mel ocekavat vice:-0

Outlook neumi TLS a to je dneska standard. Vsechny rezimy, kdy se SSL
spojeni navazuje na jiny port nez standarndni protokol jsou povazovany za
zastarale a nevhodne.

zdravim
dan


Další informace o konferenci Linux