Discussion:
Vraag certificaten (mail- en webserver)
(te oud om op te antwoorden)
Richard Rasker
2009-05-19 19:56:39 UTC
Permalink
Ik heb deze vraag al een paar keer eerder gesteld, maar op een of andere
manier lukt het me nog steeds niet om servercertificaten in elkaar te
sleutelen die gewoon geaccepteerd worden, ondanks dat het proces in grote
lijnen wel duidelijk is.
OK, het lijkt me logisch dat self-signed certificaten in eerste instantie
niet vertrouwd worden -- ze zijn immers niet getekend door een vertrouwde
organisatie.
Het probleem is echter dat een Windows-gebruiker *iedere keer* wanneer hij
verbinding wil maken met zijn Courier-IMAP-mailserver de vraag krijgt of
hij zeker weet dat hij verbinding wil maken, en dan op Ja moet klikken.

Nu vermoed ik dat ik iets verkeerd heb gedaan met de Common Name -- dat is
afgezien van de uiteindelijke ondertekening het enige dat zo te zien
belangrijk is. Het enige wat hier echter over wordt gezegd, is dat dit de
exacte hostnaam van de machine moet zijn -- maar is dit de interne
hostnaam? Of de interne hostnaam plus het domein? Of de hostnaam waarmee de
machine van buitenaf te bereiken is?

Met andere woorden: Stel dat de machine zelf de hostnaam 'hermes' heeft,
maar vanaf internet te bereiken is als mail.domein.nl, wat moet er dan
precies worden ingevuld voor de Common Name?

Overigens overweeg ik e.e.a. volgens deze Howto aan te pakken, en mijn
certificaten door CAcert.org te laten ondertekenen:
http://linux.seindal.dk/2005/12/04/making-a-courier-imap-ssl-sertificate/

Heeft iemand hiermee ervaring? Of wellicht nog tips/opmerkingen?

Alvast weer dank,

Richard Rasker
--
http://www.linetec.nl
Johan van Selst
2009-05-19 20:39:05 UTC
Permalink
Post by Richard Rasker
Met andere woorden: Stel dat de machine zelf de hostnaam 'hermes' heeft,
maar vanaf internet te bereiken is als mail.domein.nl, wat moet er dan
precies worden ingevuld voor de Common Name?
mail.domein.nl


Ciao,
Johan
--
Why do we always come here - I guess we'll never know.
It's like a kind of torture to have to watch the show.
Joost de Heer
2009-05-19 20:44:07 UTC
Permalink
Post by Richard Rasker
Het enige wat hier echter over wordt gezegd, is dat dit de
exacte hostnaam van de machine moet zijn -- maar is dit de interne
hostnaam? Of de interne hostnaam plus het domein? Of de hostnaam waarmee de
machine van buitenaf te bereiken is?
De naam waarop de machine vanaf extern benaderd wordt. Stel dat jouw
webserver web.rasker.local heet, en aangesproken wordt door de boze
buitenwereld als https://www.rasker.net, of als smtps://mail.rasker.net.
In het webservergeval dient de certificaat-CN 'www.rasker.net' te zijn,
in het smtp-geval dient de certificaat-CN 'mail.rasker.net' te zijn.

Voor Windows gebruikers geldt dat het signer certificate in de 'Trusted
root certificates' certificate store geplaatst dient te worden (tenzij
de applicatie zijn eigen root certificate store heeft, zoals
Thunderbird/Firefox).

Joost
Dick Hoogendijk
2009-05-19 21:00:34 UTC
Permalink
Post by Richard Rasker
Met andere woorden: Stel dat de machine zelf de hostnaam 'hermes'
heeft, maar vanaf internet te bereiken is als mail.domein.nl, wat moet
er dan precies worden ingevuld voor de Common Name?
Altijd de FQDN -> zoals hij van buitenaf via DNS oproepbaar is dus.
--
Dick Hoogendijk -- PGP/GnuPG key: 01D2433D
+http://nagual.nl/ | SunOS 10u7 05/09 ZFS+
Richard Rasker
2009-05-20 05:25:16 UTC
Permalink
Post by Dick Hoogendijk
Post by Richard Rasker
Met andere woorden: Stel dat de machine zelf de hostnaam 'hermes'
heeft, maar vanaf internet te bereiken is als mail.domein.nl, wat moet
er dan precies worden ingevuld voor de Common Name?
Altijd de FQDN -> zoals hij van buitenaf via DNS oproepbaar is dus.
OK, dat kan ik dan tenminste /niet/ meer verkeerd doen :-) Mijn dank, ook
aan de anderen.

Richard Rasker
--
http://www.linetec.nl
Paul van der Vlis
2009-05-20 07:37:18 UTC
Permalink
Post by Richard Rasker
Ik heb deze vraag al een paar keer eerder gesteld, maar op een of andere
manier lukt het me nog steeds niet om servercertificaten in elkaar te
sleutelen die gewoon geaccepteerd worden, ondanks dat het proces in grote
lijnen wel duidelijk is.
OK, het lijkt me logisch dat self-signed certificaten in eerste instantie
niet vertrouwd worden -- ze zijn immers niet getekend door een vertrouwde
organisatie.
Het probleem is echter dat een Windows-gebruiker *iedere keer* wanneer hij
verbinding wil maken met zijn Courier-IMAP-mailserver de vraag krijgt of
hij zeker weet dat hij verbinding wil maken, en dan op Ja moet klikken.
Je hebt het hier over IMAP, die problemen zijn wel op te lossen zoals de
anderen al schrijven. Maar waarschijnlijk is er ook webmail.

Het blijft een gezeur met die self-signed-certificaten en MSIE, ook als
je self-signed certificaat helemaal in orde is moet je bij MSIE altijd
meerdere vervelende vensters wegklikken. Mochten niet technische
gebruikers gebruik maken van het systeem dan raad ik je toch aan een
officieel certificaat te nemen. Ik koop van die 15-euro certificaten bij
http://www.sslcertificaten.nl/
En datzelfde certificaat kun je dan ook meteen gebruiken voor IMAP en SMTP.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Philip Paeps
2009-05-20 08:27:06 UTC
Permalink
Post by Paul van der Vlis
Post by Richard Rasker
Ik heb deze vraag al een paar keer eerder gesteld, maar op een of andere
manier lukt het me nog steeds niet om servercertificaten in elkaar te
sleutelen die gewoon geaccepteerd worden, ondanks dat het proces in grote
lijnen wel duidelijk is.
OK, het lijkt me logisch dat self-signed certificaten in eerste instantie
niet vertrouwd worden -- ze zijn immers niet getekend door een vertrouwde
organisatie.
Het probleem is echter dat een Windows-gebruiker *iedere keer* wanneer hij
verbinding wil maken met zijn Courier-IMAP-mailserver de vraag krijgt of
hij zeker weet dat hij verbinding wil maken, en dan op Ja moet klikken.
Je hebt het hier over IMAP, die problemen zijn wel op te lossen zoals de
anderen al schrijven. Maar waarschijnlijk is er ook webmail.
Het blijft een gezeur met die self-signed-certificaten en MSIE, ook als je
self-signed certificaat helemaal in orde is moet je bij MSIE altijd meerdere
vervelende vensters wegklikken. Mochten niet technische gebruikers gebruik
maken van het systeem dan raad ik je toch aan een officieel certificaat te
nemen. Ik koop van die 15-euro certificaten bij
http://www.sslcertificaten.nl/
En datzelfde certificaat kun je dan ook meteen gebruiken voor IMAP en SMTP.
Technische gebruikers betrouwen de mythische "auto-trusted" root certificates
niet en slopen die als eerste uit hun webbrowsers.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

For some reason, I was about to compare Dante's nine levels of hell with
a book I have at home about the Linux kernel.
-- Cosmo
Paul van der Vlis
2009-05-20 12:24:20 UTC
Permalink
Post by Philip Paeps
Post by Paul van der Vlis
Post by Richard Rasker
Ik heb deze vraag al een paar keer eerder gesteld, maar op een of andere
manier lukt het me nog steeds niet om servercertificaten in elkaar te
sleutelen die gewoon geaccepteerd worden, ondanks dat het proces in grote
lijnen wel duidelijk is.
OK, het lijkt me logisch dat self-signed certificaten in eerste instantie
niet vertrouwd worden -- ze zijn immers niet getekend door een vertrouwde
organisatie.
Het probleem is echter dat een Windows-gebruiker *iedere keer* wanneer hij
verbinding wil maken met zijn Courier-IMAP-mailserver de vraag krijgt of
hij zeker weet dat hij verbinding wil maken, en dan op Ja moet klikken.
Je hebt het hier over IMAP, die problemen zijn wel op te lossen zoals de
anderen al schrijven. Maar waarschijnlijk is er ook webmail.
Het blijft een gezeur met die self-signed-certificaten en MSIE, ook als je
self-signed certificaat helemaal in orde is moet je bij MSIE altijd meerdere
vervelende vensters wegklikken. Mochten niet technische gebruikers gebruik
maken van het systeem dan raad ik je toch aan een officieel certificaat te
nemen. Ik koop van die 15-euro certificaten bij
http://www.sslcertificaten.nl/
En datzelfde certificaat kun je dan ook meteen gebruiken voor IMAP en SMTP.
Technische gebruikers betrouwen de mythische "auto-trusted" root certificates
niet en slopen die als eerste uit hun webbrowsers.
Oeps, dan ben ik geen technische gebruiker.
Hoe controleer jij dan of je browser echt me je bank communiceert?

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
unknown
2009-05-20 12:38:54 UTC
Permalink
Post by Paul van der Vlis
Post by Philip Paeps
Technische gebruikers betrouwen de mythische "auto-trusted" root
certificates niet en slopen die als eerste uit hun webbrowsers.
Oeps, dan ben ik geen technische gebruiker.
Hoe controleer jij dan of je browser echt me je bank communiceert?
Technische gebruikers bankieren niet via internet?
--
robert
Fred Mobach
2009-05-20 12:56:54 UTC
Permalink
Post by unknown
Post by Paul van der Vlis
Post by Philip Paeps
Technische gebruikers betrouwen de mythische "auto-trusted" root
certificates niet en slopen die als eerste uit hun webbrowsers.
Oeps, dan ben ik geen technische gebruiker.
Hoe controleer jij dan of je browser echt me je bank communiceert?
Technische gebruikers bankieren niet via internet?
Sommige doen dat inderdaad niet. En andere weer wel.
--
Fred Mobach - ***@mobach.nl
website : http://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..
unknown
2009-05-20 13:00:08 UTC
Permalink
Post by Fred Mobach
Post by unknown
Technische gebruikers bankieren niet via internet?
Sommige doen dat inderdaad niet. En andere weer wel.
Niet-technische gebruikers ook.
--
robert
Fred Mobach
2009-05-20 14:51:50 UTC
Permalink
Post by unknown
Post by Fred Mobach
Post by unknown
Technische gebruikers bankieren niet via internet?
Sommige doen dat inderdaad niet. En andere weer wel.
Niet-technische gebruikers ook.
Dat was me al bekend.
--
Fred Mobach - ***@mobach.nl
website : http://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..
Philip Paeps
2009-05-20 14:54:15 UTC
Permalink
Post by Paul van der Vlis
Post by Philip Paeps
Post by Paul van der Vlis
Het blijft een gezeur met die self-signed-certificaten en MSIE, ook als je
self-signed certificaat helemaal in orde is moet je bij MSIE altijd meerdere
vervelende vensters wegklikken. Mochten niet technische gebruikers gebruik
maken van het systeem dan raad ik je toch aan een officieel certificaat te
nemen. Ik koop van die 15-euro certificaten bij
http://www.sslcertificaten.nl/
En datzelfde certificaat kun je dan ook meteen gebruiken voor IMAP en SMTP.
Technische gebruikers betrouwen de mythische "auto-trusted" root certificates
niet en slopen die als eerste uit hun webbrowsers.
Oeps, dan ben ik geen technische gebruiker.
Jouw niveau van paranoia ligt gewoon wat lager dan dat van mij.

Het is triviaal om een certificate te laten signen door een "trusted" root.
Dat heb je zelf ook bewezen: je geeft geld aan een wazige organizatie die een
plaatsje voor hun root certificate bij vendors van webbrowsers gekocht hebben
en plots moeten alle gebruikers van die webbrowsers jou maar te betrouwen
vinden.

Als je meer geld aan die organizatie geeft, doen ze een oppervlakkige
verificatie van je bestaan, en kleuren ze het balkje van webbrowsers groen,
waardoor je nog meer "trusted" lijkt voor de argeloze gebruiker.

Het woordje "trust" hoort niet thuis in dit plaatje. Het enige waar je van
uit kunt gaan als je een website tegenkomt wiens certificate signed is door
een root certificate in je webbrowser is het feit dat het certificate gesignd
is. Je kunt op basis hiervan geen enkel oordeel vellen over de
betrouwbaarheid van dat certificate.
Post by Paul van der Vlis
Hoe controleer jij dan of je browser echt me je bank communiceert?
Ik heb met mijn beide banken (professioneel en privé) de SHA1 fingerprints van
hun certificaten out-of-band -- over de telefoon -- geverifieerd. Het deed me
overigens plezier dat de twee betrokken "technische helpdesks" niet volledig
uit de lucht vielen bij mijn verzoek even de fingerprints voor te lezen, en ze
de informatie zelfs meteen bij de hand hadden.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

Don't force it,
get a bigger hammer.
Koos van den Hout
2009-05-21 12:43:33 UTC
Permalink
Post by Philip Paeps
Ik heb met mijn beide banken (professioneel en privé) de SHA1 fingerprints van
hun certificaten out-of-band -- over de telefoon -- geverifieerd. Het deed me
overigens plezier dat de twee betrokken "technische helpdesks" niet volledig
uit de lucht vielen bij mijn verzoek even de fingerprints voor te lezen, en ze
de informatie zelfs meteen bij de hand hadden.
Heb je ze gelijk eens gevraagd waarom ze die fingerprints niet gewoon
standaard op rekeningafschriften en andere post die ze sturen printen?

Koos
--
Koos van den Hout, PGP keyid DSS/1024 0xF0D7C263 via keyservers
***@kzdoos.xs4all.nl or RSA/1024 0xCA845CB5
Snowcam: webcams for your wintersport holiday
http://idefix.net/~koos/ http://www.snowcam.org/
Philip Paeps
2009-05-21 13:05:09 UTC
Permalink
Post by Koos van den Hout
Post by Philip Paeps
Ik heb met mijn beide banken (professioneel en privé) de SHA1 fingerprints
van hun certificaten out-of-band -- over de telefoon -- geverifieerd. Het
deed me overigens plezier dat de twee betrokken "technische helpdesks"
niet volledig uit de lucht vielen bij mijn verzoek even de fingerprints
voor te lezen, en ze de informatie zelfs meteen bij de hand hadden.
Heb je ze gelijk eens gevraagd waarom ze die fingerprints niet gewoon
standaard op rekeningafschriften en andere post die ze sturen printen?
Nee. Er zijn grenzen aan de hoeveelheid preken in de woestijn een man aankan.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

You can't expect to hit the jackpot
if you don't put a few nickles in the machine.
Paul van der Vlis
2009-05-21 19:46:58 UTC
Permalink
Post by Philip Paeps
Post by Paul van der Vlis
Post by Philip Paeps
Post by Paul van der Vlis
Het blijft een gezeur met die self-signed-certificaten en MSIE, ook als je
self-signed certificaat helemaal in orde is moet je bij MSIE altijd meerdere
vervelende vensters wegklikken. Mochten niet technische gebruikers gebruik
maken van het systeem dan raad ik je toch aan een officieel certificaat te
nemen. Ik koop van die 15-euro certificaten bij
http://www.sslcertificaten.nl/
En datzelfde certificaat kun je dan ook meteen gebruiken voor IMAP en SMTP.
Technische gebruikers betrouwen de mythische "auto-trusted" root certificates
niet en slopen die als eerste uit hun webbrowsers.
Oeps, dan ben ik geen technische gebruiker.
Jouw niveau van paranoia ligt gewoon wat lager dan dat van mij.
Het is triviaal om een certificate te laten signen door een "trusted" root.
Dat heb je zelf ook bewezen: je geeft geld aan een wazige organizatie die een
plaatsje voor hun root certificate bij vendors van webbrowsers gekocht hebben
en plots moeten alle gebruikers van die webbrowsers jou maar te betrouwen
vinden.
Nee, maar het beschermt wel tegen vervelende foutmeldingen.
Post by Philip Paeps
Als je meer geld aan die organizatie geeft, doen ze een oppervlakkige
verificatie van je bestaan, en kleuren ze het balkje van webbrowsers groen,
waardoor je nog meer "trusted" lijkt voor de argeloze gebruiker.
Daar doe ik niet aan.
Post by Philip Paeps
Het woordje "trust" hoort niet thuis in dit plaatje. Het enige waar je van
uit kunt gaan als je een website tegenkomt wiens certificate signed is door
een root certificate in je webbrowser is het feit dat het certificate gesignd
is. Je kunt op basis hiervan geen enkel oordeel vellen over de
betrouwbaarheid van dat certificate.
Niet veel inderdaad, toch denk ik niet dat ik eenvoudig aan een geldig
certificaat van een bekende organisatie zou kunnen komen.
Post by Philip Paeps
Post by Paul van der Vlis
Hoe controleer jij dan of je browser echt me je bank communiceert?
Ik heb met mijn beide banken (professioneel en privé) de SHA1 fingerprints van
hun certificaten out-of-band -- over de telefoon -- geverifieerd. Het deed me
overigens plezier dat de twee betrokken "technische helpdesks" niet volledig
uit de lucht vielen bij mijn verzoek even de fingerprints voor te lezen, en ze
de informatie zelfs meteen bij de hand hadden.
Interessant. En je hebt die keys nu zelf als vertrouwd gesigned o.i.d.?

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Philip Paeps
2009-05-21 22:17:54 UTC
Permalink
Post by Paul van der Vlis
Post by Philip Paeps
Post by Paul van der Vlis
Post by Philip Paeps
Post by Paul van der Vlis
Het blijft een gezeur met die self-signed-certificaten en MSIE, ook als je
self-signed certificaat helemaal in orde is moet je bij MSIE altijd meerdere
vervelende vensters wegklikken. Mochten niet technische gebruikers gebruik
maken van het systeem dan raad ik je toch aan een officieel certificaat te
nemen. Ik koop van die 15-euro certificaten bij
http://www.sslcertificaten.nl/
En datzelfde certificaat kun je dan ook meteen gebruiken voor IMAP en SMTP.
Technische gebruikers betrouwen de mythische "auto-trusted" root certificates
niet en slopen die als eerste uit hun webbrowsers.
Oeps, dan ben ik geen technische gebruiker.
Jouw niveau van paranoia ligt gewoon wat lager dan dat van mij.
Het is triviaal om een certificate te laten signen door een "trusted" root.
Dat heb je zelf ook bewezen: je geeft geld aan een wazige organizatie die een
plaatsje voor hun root certificate bij vendors van webbrowsers gekocht hebben
en plots moeten alle gebruikers van die webbrowsers jou maar te betrouwen
vinden.
Nee, maar het beschermt wel tegen vervelende foutmeldingen.
Welja. "Foutmeldingen". Ofwel ben je te betrouwen ofwel ben je dat niet.

Het is niet aan een of andere wazige organisatie om voor mij uit te maken of
ik jou wil betrouwen op basis van jouw bereidheid om geld te geven aan die
organisatie. Die "foutmeldingen" zijn er om de gebruiker te beschermen tegen
onbetrouwbare websites. Ik vind niet dat een website zomaar betrouwbaar wordt
omdat de eigenaar ervan geld geeft aan een organisatie die betaald heeft om
haar root certificate bij het lijstje "betrouwbare root certificates" te laten
zetten.

Sterker nog, ik vind het bijzonder bedenkelijk dat browsers zo'n lijstje
"betrouwbare root certificates" shippen.

Gebruikers moeten voor zichzelf maar uitmaken wie ze te betrouwen vinden en
wie niet. Dat lijstje "betrouwbare root certificates" geeft een vals gevoel
van veiligheid. "Oh - mijn browser zeurt er niet over en geeft mooi een groen
hangslotje weer: ik kan er zonder vrees mijn kredietkaartgegevens intikken".
Post by Paul van der Vlis
Post by Philip Paeps
Als je meer geld aan die organizatie geeft, doen ze een oppervlakkige
verificatie van je bestaan, en kleuren ze het balkje van webbrowsers groen,
waardoor je nog meer "trusted" lijkt voor de argeloze gebruiker.
Daar doe ik niet aan.
Uitstekend. Die vreselijke "groene balkjes" campagne illustreert het probleem
alleen nog beter.
Post by Paul van der Vlis
Post by Philip Paeps
Het woordje "trust" hoort niet thuis in dit plaatje. Het enige waar je van
uit kunt gaan als je een website tegenkomt wiens certificate signed is door
een root certificate in je webbrowser is het feit dat het certificate
gesignd is. Je kunt op basis hiervan geen enkel oordeel vellen over de
betrouwbaarheid van dat certificate.
Niet veel inderdaad, toch denk ik niet dat ik eenvoudig aan een geldig
certificaat van een bekende organisatie zou kunnen komen.
Daar gaat het niet om. *Niemand* gaat kijken naar de gegevens die er op je
certificate staan. De browser geeft mooi een hangslotje (of een groen balkje)
en daarmee ben je in de ogen van de gebruiker betrouwbaar. Een gebruiker gaat
niet even kijken of wat er in O= van je certificate een bekende organizatie
is, dan wel een of andere creatieve social engineer.

Het hele idee van "betrouwbare root certificates" die met browsers meegeshipt
worden is fout. Het geeft een vals gevoel van veiligheid. En de groene
balkjes campagne maakt het alleen maar erger.
Post by Paul van der Vlis
Post by Philip Paeps
Post by Paul van der Vlis
Hoe controleer jij dan of je browser echt me je bank communiceert?
Ik heb met mijn beide banken (professioneel en privé) de SHA1 fingerprints van
hun certificaten out-of-band -- over de telefoon -- geverifieerd. Het deed me
overigens plezier dat de twee betrokken "technische helpdesks" niet volledig
uit de lucht vielen bij mijn verzoek even de fingerprints voor te lezen, en ze
de informatie zelfs meteen bij de hand hadden.
Interessant. En je hebt die keys nu zelf als vertrouwd gesigned o.i.d.?
"Gesignd" niet. Ik laat Mozilla Firefox dat certificate als betrouwbaar
beschouwen. Onder preferences->advanced->encryption->view
certificates->servers zit dat. Het feit dat dat zo diep verstopt zit, is nog
iets waar ik me mateloos aan stoor.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

Too many people want to *have written*.
-- (Terry Pratchett, alt.fan.pratchett)
Paul van der Vlis
2009-05-22 09:22:29 UTC
Permalink
Post by Philip Paeps
Post by Paul van der Vlis
Post by Philip Paeps
Post by Paul van der Vlis
Hoe controleer jij dan of je browser echt me je bank communiceert?
Ik heb met mijn beide banken (professioneel en privé) de SHA1 fingerprints van
hun certificaten out-of-band -- over de telefoon -- geverifieerd. Het deed me
overigens plezier dat de twee betrokken "technische helpdesks" niet volledig
uit de lucht vielen bij mijn verzoek even de fingerprints voor te lezen, en ze
de informatie zelfs meteen bij de hand hadden.
Interessant. En je hebt die keys nu zelf als vertrouwd gesigned o.i.d.?
"Gesignd" niet. Ik laat Mozilla Firefox dat certificate als betrouwbaar
beschouwen. Onder preferences->advanced->encryption->view
certificates->servers zit dat. Het feit dat dat zo diep verstopt zit, is nog
iets waar ik me mateloos aan stoor.
Bedankt voor je tip, wel een goed idee.

Zelfs al zou je de fingerprints niet gaan controleren, dan beschermt het
je toch tegen b.v. typefout domeinen.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
jaap
2009-05-22 08:03:41 UTC
Permalink
Post by Richard Rasker
Ik heb deze vraag al een paar keer eerder gesteld, maar op een of andere
manier lukt het me nog steeds niet om servercertificaten in elkaar te
sleutelen die gewoon geaccepteerd worden, ondanks dat het proces in grote
lijnen wel duidelijk is.
<knip>
Post by Richard Rasker
overigens overweeg ik e.e.a. volgens deze Howto aan te pakken, en mijn
http://linux.seindal.dk/2005/12/04/making-a-courier-imap-ssl-sertificate/
Heeft iemand hiermee ervaring? Of wellicht nog tips/opmerkingen?
cacert.org werkt bij mij prima. Kan ik in ieder geval aanraden.


Jaap
Richard Rasker
2009-05-22 11:25:17 UTC
Permalink
Post by jaap
Post by Richard Rasker
Ik heb deze vraag al een paar keer eerder gesteld, maar op een of andere
manier lukt het me nog steeds niet om servercertificaten in elkaar te
sleutelen die gewoon geaccepteerd worden, ondanks dat het proces in grote
lijnen wel duidelijk is.
<knip>
Post by Richard Rasker
overigens overweeg ik e.e.a. volgens deze Howto aan te pakken, en mijn
http://linux.seindal.dk/2005/12/04/making-a-courier-imap-ssl-sertificate/
Heeft iemand hiermee ervaring? Of wellicht nog tips/opmerkingen?
cacert.org werkt bij mij prima. Kan ik in ieder geval aanraden.
Ik heb e.e.a. volgens bovenstaande howto gedaan, maar bijvoorbeeld KMail
blijft klagen over het certificaat:

Loading Image...

Ik weet zeker dat ik alle gegevens (en dan met name ook de Common Name)
correct heb opgegeven, maar zo te zien wordt cacert.org niet automatisch
vertrouwd -- of zou er nog iets anders aan de hand kunnen zijn?

Richard Rasker
--
http://www.linetec.nl
Philip Paeps
2009-05-22 11:38:42 UTC
Permalink
Post by Richard Rasker
Post by jaap
Post by Richard Rasker
Ik heb deze vraag al een paar keer eerder gesteld, maar op een of andere
manier lukt het me nog steeds niet om servercertificaten in elkaar te
sleutelen die gewoon geaccepteerd worden, ondanks dat het proces in grote
lijnen wel duidelijk is.
<knip>
Post by Richard Rasker
overigens overweeg ik e.e.a. volgens deze Howto aan te pakken, en mijn
http://linux.seindal.dk/2005/12/04/making-a-courier-imap-ssl-sertificate/
Heeft iemand hiermee ervaring? Of wellicht nog tips/opmerkingen?
cacert.org werkt bij mij prima. Kan ik in ieder geval aanraden.
Ik heb e.e.a. volgens bovenstaande howto gedaan, maar bijvoorbeeld KMail
http://www.linetec.nl/linux/fout_cert1.png
Ik weet zeker dat ik alle gegevens (en dan met name ook de Common Name)
correct heb opgegeven, maar zo te zien wordt cacert.org niet automatisch
vertrouwd -- of zou er nog iets anders aan de hand kunnen zijn?
De roots van cacert.org zitten inderdaad meestal niet bundled bij
distributies. Ik beschouw dat als een feature (zie ook die andere subthread
hier), maar anderen mogelijk niet. Als je cacert.org betrouwt kan je hun root
toevoegen.

Overigens is openssl s_client bijzonder handig bij het onderzoeken van issues.
IMAP STARTTLS zit er standaard in. Als je ook graag Jabber/XMPP wil
onderzoeken, heb je OpenSSL 0.9.8j of later nodig, zie ook:
http://cvs.openssl.org/chngview?cn=17513
Doch dat geheel terzijde.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

The wrong quarterback is the one that's in there.
Richard Rasker
2009-05-22 12:02:04 UTC
Permalink
Post by Philip Paeps
Post by Richard Rasker
Post by jaap
Post by Richard Rasker
Ik heb deze vraag al een paar keer eerder gesteld, maar op een of
andere manier lukt het me nog steeds niet om servercertificaten in
elkaar te sleutelen die gewoon geaccepteerd worden, ondanks dat het
proces in grote lijnen wel duidelijk is.
<knip>
Post by Richard Rasker
overigens overweeg ik e.e.a. volgens deze Howto aan te pakken, en mijn
http://linux.seindal.dk/2005/12/04/making-a-courier-imap-ssl-sertificate/
Post by Philip Paeps
Post by Richard Rasker
Post by jaap
Post by Richard Rasker
Heeft iemand hiermee ervaring? Of wellicht nog tips/opmerkingen?
cacert.org werkt bij mij prima. Kan ik in ieder geval aanraden.
Ik heb e.e.a. volgens bovenstaande howto gedaan, maar bijvoorbeeld KMail
http://www.linetec.nl/linux/fout_cert1.png
Ik weet zeker dat ik alle gegevens (en dan met name ook de Common Name)
correct heb opgegeven, maar zo te zien wordt cacert.org niet automatisch
vertrouwd -- of zou er nog iets anders aan de hand kunnen zijn?
De roots van cacert.org zitten inderdaad meestal niet bundled bij
distributies.
OK, dat is dan duidelijk. Ik hoor vanzelf wel van mijn gebruiker of zijn
clients (Windows, OE) het wel in een keer slikken. Zo niet, dan moet ik nog
even een manier zoeken om deze certificaten toe te voegen aan zijn systemen
(of moet ik een certificaat halen bij een andere club die wel standaard
vertrouwd wordt).
Post by Philip Paeps
Ik beschouw dat als een feature (zie ook die andere subthread hier), maar
anderen mogelijk niet. Als je cacert.org betrouwt kan je hun root
toevoegen.
Overigens is openssl s_client bijzonder handig bij het onderzoeken van issues.
IMAP STARTTLS zit er standaard in. Als je ook graag Jabber/XMPP wil
http://cvs.openssl.org/chngview?cn=17513
Doch dat geheel terzijde.
Dit gaat meteen in het mapje 'mailserver-tips' :-)

Mijn dank voor de hulp,

Richard Rasker
--
http://www.linetec.nl
Richard Rasker
2009-05-22 16:45:16 UTC
Permalink
Post by Richard Rasker
Post by Philip Paeps
De roots van cacert.org zitten inderdaad meestal niet bundled bij
distributies.
OK, dat is dan duidelijk. Ik hoor vanzelf wel van mijn gebruiker of zijn
clients (Windows, OE) het wel in een keer slikken.
Hm, niet dus, en de ondertekening door cacert.org is in dit geval dus
compleet zinloos; ik kan het dan net zo goed op zelfondertekende
certificaten houden -- mijn gebruikers weten immers wel dat hun eigen
IMAP-server te vertrouwen is.
Het was vooral de bedoeling dat ze niet langer die waarschuwing zouden
krijgen, telkens wanneer ze verbinding maken met de server.

Weet iemand hoe je deze certificaten vlot toevoegt aan Windows-clients?
En anders moeten ze maar iets gaan regelen met een betaalde CA die wel
standaard wordt vertrouwd.

Richard Rasker
--
http://www.linetec.nl
Paul van der Vlis
2009-05-23 11:11:59 UTC
Permalink
Post by Richard Rasker
Post by Richard Rasker
Post by Philip Paeps
De roots van cacert.org zitten inderdaad meestal niet bundled bij
distributies.
OK, dat is dan duidelijk. Ik hoor vanzelf wel van mijn gebruiker of zijn
clients (Windows, OE) het wel in een keer slikken.
Hm, niet dus, en de ondertekening door cacert.org is in dit geval dus
compleet zinloos; ik kan het dan net zo goed op zelfondertekende
certificaten houden -- mijn gebruikers weten immers wel dat hun eigen
IMAP-server te vertrouwen is.
Precies.
Post by Richard Rasker
Het was vooral de bedoeling dat ze niet langer die waarschuwing zouden
krijgen, telkens wanneer ze verbinding maken met de server.
Weet iemand hoe je deze certificaten vlot toevoegt aan Windows-clients?
http://wiki.cacert.org/wiki/BrowserClients
Post by Richard Rasker
En anders moeten ze maar iets gaan regelen met een betaalde CA die wel
standaard wordt vertrouwd.
Lijkt mij het beste.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Rasker
2009-05-24 10:31:14 UTC
Permalink
...
Post by Paul van der Vlis
Post by Richard Rasker
Weet iemand hoe je deze certificaten vlot toevoegt aan Windows-clients?
http://wiki.cacert.org/wiki/BrowserClients
Post by Richard Rasker
En anders moeten ze maar iets gaan regelen met een betaalde CA die wel
standaard wordt vertrouwd.
Lijkt mij het beste.
OK, dank -- en ik geloof dat ik nu eindelijk het naadje van de kous weet met
betrekking tot certificaten (en waarom het me dus ook nooit is gelukt ze
domweg te laten accepteren).

Zijn er bepaalde vertrouwde CA's die speciaal aan of af te raden zijn?
Ik meen me uit het verleden wat negatieve geluiden over VeriSign te
herinneren, maar ik weet niet meer waar dat ook alweer over ging.

Richard Rasker
--
http://www.linetec.nl
Paul van der Vlis
2009-05-24 16:33:33 UTC
Permalink
Post by Richard Rasker
...
Post by Paul van der Vlis
Post by Richard Rasker
Weet iemand hoe je deze certificaten vlot toevoegt aan Windows-clients?
http://wiki.cacert.org/wiki/BrowserClients
Post by Richard Rasker
En anders moeten ze maar iets gaan regelen met een betaalde CA die wel
standaard wordt vertrouwd.
Lijkt mij het beste.
OK, dank -- en ik geloof dat ik nu eindelijk het naadje van de kous weet met
betrekking tot certificaten (en waarom het me dus ook nooit is gelukt ze
domweg te laten accepteren).
Zijn er bepaalde vertrouwde CA's die speciaal aan of af te raden zijn?
Ik meen me uit het verleden wat negatieve geluiden over VeriSign te
herinneren, maar ik weet niet meer waar dat ook alweer over ging.
Niet dat ik zo weet.

Comodo (wat ik gebruik) heeft als nadeel dat installeren wat lastiger
is, omdat het geen "single root" certificaat is.
Zie ook http://www.sslcertificaten.nl/SingleRoot

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
jaap
2009-05-22 12:22:58 UTC
Permalink
Post by Richard Rasker
Post by jaap
Post by Richard Rasker
Ik heb deze vraag al een paar keer eerder gesteld, maar op een of andere
manier lukt het me nog steeds niet om servercertificaten in elkaar te
sleutelen die gewoon geaccepteerd worden, ondanks dat het proces in grote
lijnen wel duidelijk is.
<knip>
Post by Richard Rasker
overigens overweeg ik e.e.a. volgens deze Howto aan te pakken, en mijn
http://linux.seindal.dk/2005/12/04/making-a-courier-imap-ssl-sertificate/
Heeft iemand hiermee ervaring? Of wellicht nog tips/opmerkingen?
cacert.org werkt bij mij prima. Kan ik in ieder geval aanraden.
Ik heb e.e.a. volgens bovenstaande howto gedaan, maar bijvoorbeeld KMail
http://www.linetec.nl/linux/fout_cert1.png
Ik weet zeker dat ik alle gegevens (en dan met name ook de Common Name)
correct heb opgegeven, maar zo te zien wordt cacert.org niet automatisch
vertrouwd -- of zou er nog iets anders aan de hand kunnen zijn?
Richard Rasker
Het is inderdaad zo dat cacert.org nog niet overal automatisch in zit,
dit zal je een keer handmatig moeten doen. Naar mijn idee zullen mensen
dat eerder doen bij cacert.org dan bij een zelfgemaakt certificaat.

Jaap
Supke
2009-05-22 17:41:38 UTC
Permalink
Post by Richard Rasker
Ik heb deze vraag al een paar keer eerder gesteld, maar op een of andere
manier lukt het me nog steeds niet om servercertificaten in elkaar te
sleutelen die gewoon geaccepteerd worden, ondanks dat het proces in
grote lijnen wel duidelijk is.
OK, het lijkt me logisch dat self-signed certificaten in eerste
instantie niet vertrouwd worden -- ze zijn immers niet getekend door een
vertrouwde organisatie.
Het probleem is echter dat een Windows-gebruiker *iedere keer* wanneer
hij verbinding wil maken met zijn Courier-IMAP-mailserver de vraag
krijgt of hij zeker weet dat hij verbinding wil maken, en dan op Ja moet
klikken.
Nu vermoed ik dat ik iets verkeerd heb gedaan met de Common Name -- dat
is afgezien van de uiteindelijke ondertekening het enige dat zo te zien
belangrijk is. Het enige wat hier echter over wordt gezegd, is dat dit
de exacte hostnaam van de machine moet zijn -- maar is dit de interne
hostnaam? Of de interne hostnaam plus het domein? Of de hostnaam waarmee
de machine van buitenaf te bereiken is?
Met andere woorden: Stel dat de machine zelf de hostnaam 'hermes' heeft,
maar vanaf internet te bereiken is als mail.domein.nl, wat moet er dan
precies worden ingevuld voor de Common Name?
Overigens overweeg ik e.e.a. volgens deze Howto aan te pakken, en mijn
http://linux.seindal.dk/2005/12/04/making-a-courier-imap-ssl-
sertificate/
Post by Richard Rasker
Heeft iemand hiermee ervaring? Of wellicht nog tips/opmerkingen?
Alvast weer dank,
Richard Rasker
Ik heb al de andere antwoorden niet gelezen dus mogelijk dat anderen al
hetzelfde geschreven hebben maar zag je vraag dus ik dacht ik reageer
ff :)

Ik gebruik al jaren cacert.org certs voor courier.
In geval van cacert certs moet je de root certificates van cacert.org in
je systeem droppen op cacert.nl let op .nl vind je diverse stappen
plannen hoe je dit doet.

Als je selfsigned certs gebruikt moet je je eigen root cert op je client
machines installeren.

Wat ook nog even een weetje is dat je bij courier certs het private en
server cert. in 1 bestand zet en dat in de diverse config bestanden zet.

Dat is bij mij voldoende om het foutloos te laten werken

ik gebruik al jaren cacert.org certificaten voor courier.
Paul van der Vlis
2009-05-23 11:30:11 UTC
Permalink
Post by Supke
Ik gebruik al jaren cacert.org certs voor courier.
In geval van cacert certs moet je de root certificates van cacert.org in
je systeem droppen op cacert.nl let op .nl vind je diverse stappen
plannen hoe je dit doet.
Als je selfsigned certs gebruikt moet je je eigen root cert op je client
machines installeren.
Volgens mij is er geen verschil tussen selfsigned certs en een
cacert.org cert, behalve dan als je OS of mailprogramma een root
certificaat van cacert meelevert, en dat doen maar weinigen.

Ik denk dat je je vergist. Het is volgens mij mogelijk een POP of IMAP
server zo te configureren dat de client gewoon niet checkt of het server
certificaat goed is, en ik denk dat je dat doet. De communicatie is dan
welliswaar encrypted, maar je hebt geen goede authenticatie van de host.

Ik gebruik Cyrus voor IMAP en POP, daar regel je dat met de instelling:
tls_require_cert

Bij websites lukt zoiets niet, voor zover ik weet.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Loading...