Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Ahoj. Dnes jsem generoval nové certifikáty StartSSL pro poštovní server a zjistil jsem, že jsem celou dobu měl špatně nastavené certifikáty u postfixu. Měl jsem jen CAfile, certifikační soubor a soubor klíče. Nikde jsem neměl uveden intermediate certifikát. Co mě zaráží je fakt, že všechny poštovní klienti bez problému přes STARTTLS komunikovaly a na nic si nestěžovali. Pomocí openssl s_client jsem si ověřil, že důvěryhodný řetězec je porušený. Nyní jsem přidal intermediate cert. na konec souboru s certifikátem (sloučil jsem je) a nyní už je i pro openssl důvěryhodný chain. Otázka zní, proč si žádný poštovní klient nestěžoval při odesílání pošty na nedůvěryhodný certifikát i když v poštovních klientech byl nainstalován jen CA certifikát (dokonce ani v logu na serveru si postfix nestěžoval)? To se při explicitním tls neprovádí kontrola certificate chainu?

Právě že se kontrola provádí. Součástí té kontroly je ale i kontrola, že certifikát nebyl revokován, což se dělá dotazem na certifikační autoritu. Tím se zároveň získá i mezilehlý certifikát a tedy se ověří celý řetěz.

26.4.2011 16:45 zmaten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Ale když nechám intermediate součástí souboru s certifikátem nevadí ne? Proč to ale neplatí třeba u dovecotu nebo apache2? U nich když nemám součástí intermediate cert. tak si klient vždy stěžuje.

26.4.2011 19:10 Sten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Nevadí, ověřovat se to bude stejně. Dovecot a Apache asi neprovádí on-line ověřování (většinou pokud chcete certifikát použít na své straně, tak jej neověřujete, protože svému systému věříte, ověřuje se, až když nevěříte druhé straně).

27.4.2011 17:07 zmaten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Tohle nedává moc smysl. Thunderbird jako klient ověřuje certifikát dovecotu. Firefox jako klient ověřuje certifikát Apache - to je v pořádku, ale Thunderbird, který se připojuje k smtp Postfixu jako klient (tedy na smtpd) by si měl také ověřovat certifikát (protože se připojuje k vzdálenému serveru). Nezáleží snad na směru komunikace, když handshake je stejně asynchronní.

27.4.2011 17:26 Sten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Na směru komunikace nezáleží, vždycky ověřuje ten, komu je certifikát předložen (certifikáty může předkládat i klient). Zde tedy Firefox a Thunderbird. Oba si ale mezilehlé certifikáty dokáží při ověřování přes web stáhnout, proto ani jednomu to nevadilo.

27.4.2011 19:29 zmaten
Rozbalit Rozbalit vše Re: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Právě naopak. Firefox a Thunderbird u imapu protestovali pokud nebyl součástí serverového certifikátu intermediate cert., naopak u smtp to nevadilo.

Dotaz: Proč funguje v postfixu ověření certifikátu bez intermediate cert.

Odpovědi