Inzerujte na AbcPráce.cz od 950 Kč

napište » Zprávičky

Lazarus 4.8

dnes 10:44 | Nová verze

Byla vydána nová verze 4.8 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Využíván je Free Pascal Compiler (FPC) 3.2.2.

Ladislav Hagara | Komentářů: 1

Apple container 1.0.0

dnes 04:44 | Nová verze

Apple container dospěl do verze 1.0.0. Jedná se o open source nástroj pro spouštění linuxových kontejnerů na macOS postavený nad containerization. Napsaný je v programovacím jazyce Swift a optimalizovaný pro Apple silicon.

Ladislav Hagara | Komentářů: 1

Eclipse IDE 2026-06 aneb Eclipse 4.40

dnes 03:33 | Nová verze

Bylo vydáno Eclipse IDE 2026-06 aneb Eclipse 4.40. Představení novinek tohoto integrovaného vývojového prostředí také na YouTube.

Ladislav Hagara | Komentářů: 0

Asterinas a Asterinas NixOS

včera 15:44 | Zajímavý software

Asterinas (GitHub) je v Rustu napsané jádro operačního systému poskytující s jádrem Linux kompatibilní ABI. Vydána byla verze 0.18.0. První distribucí postavenou nad jádrem Asterinas je Asterinas NixOS. Nejedná se o oficiální projekt NixOS a nemá nic společného s NixOS Foundation.

Ladislav Hagara | Komentářů: 1

Kritická zranitelnost v nf_tables (CVE-2026-23111)

včera 13:22 | Zajímavý článek

Podrobně byla rozebrána kritická zranitelnost v nf_tables (CVE-2026-23111). Další lokální eskalace práv na Linuxu. V upstreamu byla zranitelnost již v únoru opravena. Ve zdrojovém kódu stačilo odstranit 1 vykřičník.

Ladislav Hagara | Komentářů: 1

EK nařídila Metě obnovit bezplatný přístup AI konkurence k WhatsAppu

včera 12:11 | Nová verze

Evropská komise (EK) nařídila americké společnosti Meta, že musí znovu umožnit bezplatný přístup konkurenčním obecně zaměřeným asistentům umělé inteligence (AI) k WhatsAppu a tento přístup musí zachovat až do ukončení antimonopolního šetření. Opatření je dočasné a má zabránit vážnému a nevratnému poškození konkurence na rychle rostoucím trhu s obecnými AI asistenty. Meta uvedla, že se proti rozhodnutí odvolá.

Ladislav Hagara | Komentářů: 12

Claude Fable 5 a Claude Mythos 5

včera 11:44 | IT novinky

Společnost Anthropic představila AI modely Claude Fable 5 a Claude Mythos 5. Claude Fable 5 je první model třídy Mythos určený pro běžné použití.

Ladislav Hagara | Komentářů: 0

Alpine Linux 3.24.0

včera 04:44 | Nová verze

Byla vydána nová stabilní verze 3.24.0, tj. první z nové řady 3.24, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1

Vývoj operačního systému Redox OS (05/2026)

včera 03:33 | Komunita

Na čem pracují vývojáři v Rustu napsaného mikrokernelového unixového operačního systému Redox OS (Wikipedie)? Byl publikován přehled vývoje za květen. Vypíchnout lze nový scheduler EEVDF nebo port desktopového prostředí Xfce na Redox OS.

Ladislav Hagara | Komentářů: 0

Upozornění pro uživatele Asahi Linuxu: Neaktualizujte macOS na verzi 27 Golden Gate!

9.6. 22:22 | Komunita

Upozornění pro uživatele Asahi Linuxu: Neaktualizujte macOS na verzi 27 Golden Gate! Apple změnil detekci spouštěcích oddílů. Po aktualizaci oddíl s Asahi Linuxem nevidí. Snad je to jenom chyba.

Ladislav Hagara | Komentářů: 6

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Štítky: certifikat, Internet, klient, MTA, OpenSSL, ověření, Postfix, řetězec, server, TLS

Dotaz: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

26.4.2011 14:42 zmaten
Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Přečteno: 412×

Odpovědět | Admin

Ahoj. Dnes jsem generoval nové certifikáty StartSSL pro poštovní server a zjistil jsem, že jsem celou dobu měl špatně nastavené certifikáty u postfixu. Měl jsem jen CAfile, certifikační soubor a soubor klíče. Nikde jsem neměl uveden intermediate certifikát. Co mě zaráží je fakt, že všechny poštovní klienti bez problému přes STARTTLS komunikovaly a na nic si nestěžovali. Pomocí openssl s_client jsem si ověřil, že důvěryhodný řetězec je porušený. Nyní jsem přidal intermediate cert. na konec souboru s certifikátem (sloučil jsem je) a nyní už je i pro openssl důvěryhodný chain. Otázka zní, proč si žádný poštovní klient nestěžoval při odesílání pošty na nedůvěryhodný certifikát i když v poštovních klientech byl nainstalován jen CA certifikát (dokonce ani v logu na serveru si postfix nestěžoval)? To se při explicitním tls neprovádí kontrola certificate chainu?

Nástroje: Začni sledovat (0) ?

Odpovědi

26.4.2011 14:51 zmaten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Tak ono to vypadá že intermediate cert. se stáhnul automaticky při připojování k imapu. Toť velice zajímavé.

26.4.2011 16:26 Sten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Právě že se kontrola provádí. Součástí té kontroly je ale i kontrola, že certifikát nebyl revokován, což se dělá dotazem na certifikační autoritu. Tím se zároveň získá i mezilehlý certifikát a tedy se ověří celý řetěz.

26.4.2011 16:45 zmaten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Ale když nechám intermediate součástí souboru s certifikátem nevadí ne? Proč to ale neplatí třeba u dovecotu nebo apache2? U nich když nemám součástí intermediate cert. tak si klient vždy stěžuje.

26.4.2011 19:10 Sten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Nevadí, ověřovat se to bude stejně. Dovecot a Apache asi neprovádí on-line ověřování (většinou pokud chcete certifikát použít na své straně, tak jej neověřujete, protože svému systému věříte, ověřuje se, až když nevěříte druhé straně).

27.4.2011 17:07 zmaten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Tohle nedává moc smysl. Thunderbird jako klient ověřuje certifikát dovecotu. Firefox jako klient ověřuje certifikát Apache - to je v pořádku, ale Thunderbird, který se připojuje k smtp Postfixu jako klient (tedy na smtpd) by si měl také ověřovat certifikát (protože se připojuje k vzdálenému serveru). Nezáleží snad na směru komunikace, když handshake je stejně asynchronní.

27.4.2011 17:26 Sten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Na směru komunikace nezáleží, vždycky ověřuje ten, komu je certifikát předložen (certifikáty může předkládat i klient). Zde tedy Firefox a Thunderbird. Oba si ale mezilehlé certifikáty dokáží při ověřování přes web stáhnout, proto ani jednomu to nevadilo.

27.4.2011 19:29 zmaten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Právě naopak. Firefox a Thunderbird u imapu protestovali pokud nebyl součástí serverového certifikátu intermediate cert., naopak u smtp to nevadilo.

26.4.2011 18:44 ET
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

http://www.postfix.org/TLS_README.html#server_vrfy_client

When you configure trust in a root CA, it is not necessary to explicitly trust intermediary CAs signed by the root CA, unless $smtpd_tls_ccert_verifydepth is less than the number of CAs in the certificate chain for the clients of interest. blablabla....

Založit nové vlákno • Nahoru

Tiskni Sdílej: