#!/bin/blog

Seit heute ist die Version 2.5.0 des Postfix-MTA verfügbar. Das Feature, das mich am meisten interessiert, ist die Möglichkeit der Validierung von Serverzertifikaten anhand des Fingerprint.

Aus dem Changelog:

TLS (SSL) support was streamlined further, and provides a new
security level based on certificate fingerprints instead of CA
signatures.

Wo man vorher bei der Mailauslieferung über Einträge in tls_policy_maps geprüft hat, ob das gegnerische Zertifikat von einer bekannten CA signiert ist und auf einen Common Name aus einer bestimmten Domain ausgestellt ist:

example.com secure match=example.net

kann man nun auch selbstsignierte Zertifikate verwenden (oder Zertifikate, die von einer CA ausgestellt sind, mit deren Zertifizierungspolicy man nicht einverstanden ist) und den Fingerprint prüfen:

example.com fingerprint
  match=3D:95:34:51:24:66:33:B9:D2:40:99:C0:C1:17:0B:D1

Alle anderen Attribute des Zertifikats (insbesondere das Ablaufdatum) werden damit ignoriert.

Aus der Doku:

If certificate fingerprints are exchanged securely, this is the strongest, and least scalable security level. […] This may be feasible for an SMTP “VPN” connecting a small number of branch offices over the Internet, or for secure connections to a central mail hub. It works poorly if the remote SMTP server is managed by a third party, and its public certificate changes periodically without prior coordination with the verifying site.

Ich finde es wirklich ulkig, daß hier von einem SMTP-VPN die Rede ist. Genau diesen treffenden Vergleich hat nämlich auch mal ein Kunde konstruiert, der im großen Maßstab Secure Channel TLS einsetzt, um den Internet-Mailtraffic mit seinen Partnern abzusichern.

Für die Verwendung im “Enterprise-Bereich” sollte die Prüfung von Fingerprints aber in der Tat trotz des objektiv zu gewinnenden Sicherheitsvorteils genau auf den Prüfstand gestellt werden. Schlampig arbeitende Gegenstellen mit Snake-Oil-Zertifikaten werden damit nämlich möglicherweise erst recht zu weiterhin schlampiger Arbeit angehalten.