1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › STARTTLS: Keine Verschlüsselung mit…

Warum ist es...

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum ist es...

    Autor: Anonymer Nutzer 22.07.16 - 15:52

    ...denn für die großen MTA's so unglaublich schwierig, wenn sie denn schon SSL verwenden, dass sie nicht auch noch ihr gültiges (von mir aus auch nur domainvalidiertes) Zertifikat einsetzen?

    Auf Websites sind die Unternehmen gezwungen worden, durch die Vorhängeschlösser, "grünen Addressleisten" und Warnhinweisen der eingängigen Browserhersteller, gültige Zertifikate zu verwenden.
    Wenn der Druck nicht da ist, interessiert das wohl nicht.
    Denn aufwändig ist die Prüfung wirklich nicht.. "Verify" und ein gültiges Zertifikat einbinden, fertig. Mitm nicht mehr möglich.
    - Wenn denn DNSSEC + DANE den großen IT Unternehmen zu aufwändig ist...

  2. Re: Warum ist es...

    Autor: hannob (golem.de) 22.07.16 - 17:25

    Das Zertifikat alleine nützt ja noch nichts, solange es einen Fallback auf Plaintext gibt. Und den Abzuschalten kann sich niemand leisten.

    Außerdem gibt es da noch diverse schwierigkeiten. E-Mail wird ja über den MX abgewickelt. Wenn das Zertifikat aber für den MX-Host ausgestellt ist, hilft das auch wenig, da ein Angreifer ja dann einen anderen MX ausgeben könnte.

    Das ist ja der Grund warum man sich mit SMTP-STS Gedanken macht wie man das lösen könnte ohne die bestehende Infrastruktur zu brechen.

  3. Re: Warum ist es...

    Autor: Anonymer Nutzer 22.07.16 - 18:23

    Ja darum ging es mir ja, der Fallback muss verschwinden, wie das Posteo eben als Opt-In vorgemacht hat. Die Zertifikate belaufen sich auf die Mitm Attacken. Sobald Google, Outlook etc. den Fallback abstellen, wird das jeder machen und es gäbe kein Plaintext mehr.

    Was ich aber nicht verstehe ist, warum sollte mir das Zertifikat nichts bringen? Wenn in der Zone als MX bspw. mx.google.com eingetragen ist, dann wird auch nur an den Host zugestellt, welcher ein gültiges Zertifikat für mx.google.com hat.
    Man könnte natürlich DNS manipulieren, aber das Problem ist ja allgegenwärtig (deshalb ist meiner Meinung nach DNSSEC so unglaublich wichtig).

  4. Re: Warum ist es...

    Autor: Tautologiker 22.07.16 - 18:41

    Ja, DNSSEC ist eigentlich die einzige vernünftige Lösung, um *sicher* die Authentizität von Informationen garantieren zu können. Mit DANE und SMIMEA und konsequenter Umsetzung von DNSSEC wäre das ganze CA-Geraffel übrigens (weitgehend) überflüssig, und Krücken wie HPKP auch.

    DNSSEC hat sicher auch einige kritikwürdige Punkte, aber warum golem und speziell der Hanno alles damit im Zusammenhang immer dermaßen schlechtreden, ist mir schleierhaft. Auch ich habe DNSSEC und DANE seit langer Zeit problemlos im Einsatz.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. JAM Software GmbH, Trier
  2. Automation W+R GmbH, München
  3. EDAG Engineering GmbH, Ulm
  4. HiPP-Werk Georg Hipp OHG, Pfaffenhofen Raum Ingolstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (Spiele bis zu 90% reduziert)
  2. ab 30,00€
  3. (aktuell u. a. Xiaomi Mi Note 10 128GB Handy für 499,00€ und HP 25x LED-Monitor für 179,90€)
  4. (u. a. Battlefield V für 21,49€ und Star Wars Jedi: Fallen Order für 52,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


HR-Analytics: Weshalb Mitarbeiter kündigen
HR-Analytics
Weshalb Mitarbeiter kündigen

HR-Analytics soll vorhersagbare und damit wertvollere Informationen liefern als reine Zahlen aus dem Controlling. Diese junge Disziplin im Personalwesen hat großes Potenzial, weil sie Personaler in die Lage versetzt, zu agieren, statt zu reagieren.
Ein Bericht von Peter Ilg

  1. Frauen in der IT Ist Logik von Natur aus Männersache?
  2. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  3. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

Von Microsoft zu Linux und zurück: Es gab bei Limux keine unlösbaren Probleme
Von Microsoft zu Linux und zurück
"Es gab bei Limux keine unlösbaren Probleme"

Aus Ärger über Microsoft stieß er den Wechsel der Stadt München auf Linux an. Kaum schied er aus dem Amt des Oberbürgermeisters, wurde Limux rückgängig gemacht. Christian Ude über Seelenmassage von Ballmer und Gates, die industriefreundliche CSU, eine abtrünnige Grüne und umfallende SPD-Genossen.
Ein Interview von Jan Kleinert


    1. Red Dead Redemption 2 PC: Hohe Bildraten schaden nicht mehr der Gesundheit
      Red Dead Redemption 2 PC
      Hohe Bildraten schaden nicht mehr der Gesundheit

      Mit Updates versucht Rockstar Games, die technischen Probleme der PC-Version von Red Dead Redemption 2 zu lösen - inklusive eines kuriosen Fehlers bei hohen Bildraten. Die Entwickler haben eine Übersicht mit noch nicht korrigierten Bugs ins Netz gestellt.

    2. Auslandskoordination: Telekom dreht LTE an den Grenzen voll auf
      Auslandskoordination
      Telekom dreht LTE an den Grenzen voll auf

      Nach Vodafone nutzt jetzt auch die Telekom die Leistung ihrer LTE-Stadion an den Auslandsgrenzen. Während es bei Vodafone 50 Stationen waren, stellt die Telekom gleich 500 auf volle Leistung.

    3. Benzinpreis-Proteste: Internet in Iran bleibt weiter gesperrt
      Benzinpreis-Proteste
      Internet in Iran bleibt weiter gesperrt

      Seit mehreren Tagen ist das Internet in Iran nach blutigen Protesten weitgehend gesperrt. Nur fünf Prozent des normalen Traffics werden registriert.


    1. 17:44

    2. 17:17

    3. 16:48

    4. 16:30

    5. 16:22

    6. 16:15

    7. 15:08

    8. 14:47