SSL certificate voor IMAP en SMTP

Euh, kopen ? Alles wat je zelf maakt geeft geen trust relationship, dus client blijven daarover klagen omdat ze de issue CA niet kennen.

Gelukkig kan dit inderdaad niet zomaar even. Ik heb er zelf ook naar gekeken voor mijn mailserver, maar verder dan self-signed kom je niet zonder te betalen aan een bedrijf als Verisign

[ Voor 1% gewijzigd door rb338 op 24-05-2005 14:03 . Reden: typo ]

Verwijderd schreef op dinsdag 24 mei 2005 @ 14:09:
Kopen, mooi is dat!

Ik denk in open-source ;-)
Nou ik heb deze link eerder van iemand gekregen;
http://www.cacert.org/

Die lijken het gratis de doen

Echter is het mij niet geheel duidelijk hoe ik zoiets via een webbrowser voor elkaar krijg, is toch iets andes als vim.

Iemand ervaring met http://www.cacert.org/

Het ziet er inderdaad wat ingewikkeld uit, maar werkt (geloof ik) wel. Je kan een server/domein/mail-certificaat krijgen dat via CAcert gevalideerd wordt. Je moet dan wel CAcert's eigen certificaat als Root-certificaat opnemen. Vervolgens kan je de andere dingen aanvragen. Deze certificaten zijn redelijk minimaal, en geven een gebruiker dus weinig info over wie jij bent. Dit komt omdat CAcert dit zelf ook niet kan garanderen, en het dus niet in je certificaat zet. Voor een eigen dingetje maakt dit natuurlijk geen bal uit, alleen als je eigen webshop wil gaan draaien zullen je klanten misschien vreemd opkijken.

Overigens heb je gelijk dat de website vrij onduidelijk is, bovenstaande is dan ook niet 100% zeker zoals in het in werkelijkheid is. Ik zou zeggen, probeer het zelf uit!

Edit: kijk anders ook eens even op de Nederlandse support website, http://www.cacert.nl/ .

[ Voor 5% gewijzigd door Garyu op 24-05-2005 16:25 ]

Voor een IMAP-server van mijn werk (vrij beperkt aantal gebruikers buiten het gebouw) gebruik ik ook CACert. Die authority wordt weliswaar nog nauwelijks door clients herkend, maar ze zijn hard aan het lobbyen bij de grote browserbouwers.

Er is een systeem klaar waarmee gebruikers elkaar kunnen controleren (jij stuurt bewijzen dat jij jezelf bent naar $random_assurer Pietje, die jou toelaat), zodat niet alles bij een centrale authority terecht hoeft te komen. Best slim opgezet, moet ik zeggen.

Overigens is het ook niet zo vreselijk lastig om een nieuw root-certificaat toe te voegen in bijvoorbeeld IE/OE of Mozilla...

igmar schreef op woensdag 25 mei 2005 @ 08:58:
[...]


Ah, en wa's dan het voordeel van CACert gebruiken ? Een CA gegereren en importeren kan ik zelf ook wel, daar heb ik CACert niet voor nodig. Was de 'echte' certificaten echt maakt is dat het CA standaard in de browsers / OS zit : Dan is de trusy relationship er al meteen.

Bij CACert wordt wel degelijk gevalideerd dat je zegt wie je bent doordat je met je paspoort/rijbewijs bij een of meerdere zogenaamde "Assurer" langs moet gaan. Een certificaat dat je zelf uitgeeft is relatief waardeloos, omdat niemand verifieert dat je daadwerkelijk degene bent voor wie je je uitgeeft. Dát is de meerwaarde van CACert. Nu moet ik zeggen dat ik die website ook pas voor het eerst gezien heb naar aanleiding van dit topic, dus een expert ben ik niet ofzo, maar hier draait het (geloof ik) om. En anders mail eens iemand via cacert.nl en vraag het hun, zij kunnen je zeker uitsluitsel geven.

igmar schreef op woensdag 25 mei 2005 @ 10:17:
[...]


Die meerwaarde is extreem beperkt zolang browsers (IE en Mozilla en aanverwanten) het CACert niet standaard in de rootcert lijst hebben staan. Zolang dat niet het geval is blijven browsers (en dus gebruikers) klagen, en zie ik dus er het nut niet van in.

Klopt. Ondertussen wordt het trouwens in Knoppix en Debian standaard ondersteund, en het is naar mijn mening veel beter dan een self-signed certificaat. Je hebt in ieder geval een derde gevonden die bevestigt dat je bent wie je bent, ook al wordt die partij nog niet bevestigd door de grote browserbouwers. Wat niet is, kan nog komen .

Garyu schreef op woensdag 25 mei 2005 @ 10:38:
Klopt. Ondertussen wordt het trouwens in Knoppix en Debian standaard ondersteund, en het is naar mijn mening veel beter dan een self-signed certificaat. Je hebt in ieder geval een derde gevonden die bevestigt dat je bent wie je bent, ook al wordt die partij nog niet bevestigd door de grote browserbouwers. Wat niet is, kan nog komen .

Da's zeker waar, maar leg dat maar eens aan de gewone gebruiker uit

Het grootste probleem dat ik heb met CAcert is dat het me iets te makkelijk gaat. Wanneer je het handig aanpakt ben je in een middag zelf assurer, en je hoeft niet gehinderd te worden door enige kennis van het controleren van identitietsbewijzen (waar trouwens niemand in dat hele mechanisme toe gekwalificeerd is). Wanneer je met een echt lijkend rijbewijs aan komt zetten, dan ben je in no time getrust en je mag zelf ook nog lekker certificaatjes uitgeven en je vrienden punten geven...en niemand die nog eens controleert of je *echt* wel bent wie je zei dat je was op het moment dat je je aanmeldde. Wat is dan dat hele web van vertrouwen waard? Precies, nada.

Niet dat nou een ander mechanisme als bijvoobeeld Verisign nou zoveel beter is, vetrouwen dat te koop is voor geld is ook geen vertrouwen. Nee, doe het maar lekker met een self signed certificaat. Minder kosten, minder rompslomp, en je verkeer is net zo goed versleuteld als met een "echt" certificaat. Je moet misschien een keertje extra klikken. Big deal.

usr-local-dick schreef op donderdag 26 mei 2005 @ 11:01:
[...]


Die extra keer klikken vanwege een error is WEL erg, dit kan namelijk veroorzaakt zijn door een spoofing attempt. Als je tegen klanten gaat zeggen dat ze die error weg kunnen klikken kijken ze er ook niet meer naar. De volgende keer wordt een sessie gehijacked en weten ze het niet.
Als je dit voor een paar geeltjes kan afdekken is het niet eens het overwegen waard.

De gemiddelde gebruiker klikt op alles "OK", hoe vaak je er ook op wijst om dat niet te doen. Dacht je nou echt dat iedereen dat hele technische verhaal gaat lezen wat er allemaal wel niet mis is met een certificaat? Nee dus, er wordt gewoon op OK geklikt om zo snel mogelijk door te gaan naar de site waar ze naar toe wilden. Wanneer een site die normaal niets meldde nu ineens wel wat meldt, dan wordt er al gauw gedacht: "Hmm, foutje zeker", en er wordt alsnog op "OK" geklikt. Of dat goed is of niet laat ik in het midden, het is de simpele praktijk.

Anyway, het is maar net wat de doelstelling van je PKI infrastructuur is. IS het voor een business site? Vooral een certificaatje van verisign ofzo bestellen. Dat is het makkelijkst, en is lekker makkelijk voor je klanten. Als het voor jezelf is om je webmail versleuteld te krijgen, self signed is zat voldoende. Een keer het root certificaat importeren en je hoort je browser nergens meer over. Voor de meeste email clients: idem dito.

Wat CA Cert betreft...vooral doen wanneer je zoiets leuk vindt, maar hecht niet te veel waarde aan de "trust". Zelfde geldt overigens (MI) voor een "echt" certificaat. Het garandeerd helemaal niets, alleen maar dat iemand het geld ervoor over had.

PolarWolf schreef op donderdag 26 mei 2005 @ 15:14:
Wat CA Cert betreft...vooral doen wanneer je zoiets leuk vindt, maar hecht niet te veel waarde aan de "trust". Zelfde geldt overigens (MI) voor een "echt" certificaat. Het garandeerd helemaal niets, alleen maar dat iemand het geld ervoor over had.

Ben ik niet helemaal met je eens. Een valide certificaat (van een betrouwbare partij) wordt meestal direct aan een domein gekoppelt door iemand binnen het domein te benaderen. Natuurlijk kan een hacker een admin-mailbox hijacken en zo een registratie voltooien. Maar er moet in ieder geval moeite voor worden gedaan

Blijft het probleem bestaan dat er vast partijen zijn die geldige certificaten uitdelen zonder alles echt te controleren. Daar doe je dan verder weinig tegen

[b]eborn schreef op donderdag 26 mei 2005 @ 23:26:Blijft het probleem bestaan dat er vast partijen zijn die geldige certificaten uitdelen zonder alles echt te controleren. Daar doe je dan verder weinig tegen

Er zijn partijen die inderdaad een diepere controle doen op wie je bent voordat er een certificaat wordt uitgedeeld. Dat kost wel een pak geld meer dan een standaard certificaatje. Helaas zal een gemiddelde web gebruiker het echt een worst wezen wie het certificaat heeft uitgegeven, zolang de browser maar stopt met zeuren :-)

Ik geloof dat bij een standaard SSL certificaat van Verisign alleen wordt gecontroleerd of het domein waar je het voor aanvraagt op jouw naam staat. Of zo iets.

Een keer het root certificaat importeren en je hoort je browser nergens meer over. Voor de meeste email clients: idem dito.

Klopt, maar sommige browsers/email client weigeren domweg een verbinding als het cert niet goed is (bv IE5/outlook expres voor Mac OS9). Dat is wel erg bot maarja het is nou eenmaal zo.
Als het voor jezelf is dan maakt het natuurlijk niet uit maar met klanten is dat een no go