Umstellung auf Dovecot

Am Samstag den 10.04.2010 findet eine Umstellung der IMAP Software von Courier auf Dovecot statt:

Gentoo/Linux:Dovecot

Für Testwillige steht die neue IMAP Software bereits auf einem anderen Port (994 mit SSL) zur Verfügung. Die abbonierten Ordner werden am Tag der Umstellung automatisch übernommen. Wer mit einem Client Programmen wie Thunderbird oder Outlook auf den Mailserver zugreift, findet bekannte Probleme und Lösungen im Wiki:

Gentoo/Linux:Dovecot#Client_Programme

Wer nach der Umstellung Probleme mit dem Zugriff auf Mails hat, möge sich bei mir melden.

Dienste mit SSL absichern

Viele Server Dienste lassen sich mit SSL absichern. Dabei kommen Zertifikate zum Einsatz, für die mal sehr viel Geld ausgeben kann. Bei Thawte kann man z.B. folgende Produkte einkaufen:

SSL123 Certificates

Dabei wird lediglich geprüft, ob das Zertifikat auch zur Domain z.B. www.bknaus.de passt (Domain validation). Ein solches Zertifikat kostet bei Thawte für ein Jahr $149 (umgerechnet 107,06€).

Domain validation

SSL Webserver-Zertifikate

Dabei handelt es sich um Zertifikate, die auch sicherstellen, dass die Domain zu einer Organisation gehört. Man kann dabei den Firmennamen in das Zertifikat aufnehmen, was z.B für Online Shops mit Kreditkartenzahlung zu bevorzugen ist. Der Kunde kann dabei sicherstellen, dass seine Kreditkartendaten auch wirklich bei der Firma landen, bei der er die Ware oder Dienstleistung einkaufen will. Ein solches Zertifikat kostet bei Thawte für ein Jahr $249 (umgerechnet 178,91€).

Organisation validation

Natürlich gibt es noch weitere Produkte, die mehr Informationen in das Zertifikat aufnehmen, oder unterschiedliche Schlüsselstärken enthalten. Es gibt sogar Zertifikate, die eine Verschönerung der Adressleiste ermöglichen:

Adressleiste

Solche Zertifikate sind für schwindelerregende Preise zu haben und bieten dabei nicht wirklich mehr Sicherheit. An große Organisationen lassen sich solche „Statussymbole“ sicherlich verkaufen, aber Betreiber von einfachen Webdiensten werden auch den Preis beim Einkauf berücksichtigen.

Als Alternative zu teuren Zertifikaten, kann man auch kostenlose Dienstleister wie CAcert.org verwenden:

Quelle Wikipedia

CAcert ist eine gemeinschaftsbetriebene, nicht-kommerzielle Zertifizierungsstelle (Certification Authority, Root-CA oder kurz CA), die kostenfrei X.509Zertifikate für verschiedene Einsatzgebiete ausstellt. Damit soll eine Alternative zu den kommerziellen Root-CAs geboten werden, die zum Teil recht hohe Gebühren für ihre Zertifikate erheben.

Leider hat CAcert.org den Sprung in die gängigen Browser noch nicht geschafft. Der Benutzer muss entweder mit einer Fehlermeldung beim ersten Verbindungsaufbau konfrontiert werden, oder das root-Zertifikat von CAcert.org im Browser importieren.

Einen kleinen Lichtblick bietet in diesem Jungel der Anbieter GoDaddy. Hier bekommt man einfache SSL Zertifikate die mit Thawte’s SSL123 vergleichbar sind für weniger als 25€ pro Jahr. Das ist ein Unterschied von 82€ Pro Jahr für die gleiche Sicherheit. Zuerst erzeugt man ein Key-File:

$ openssl genrsa -out bknaus.de.key 2048

Aus dem erzeugten Key-File generiert man eine CSR:

$ openssl req -new -key bknaus.de.key -out bknaus.de.csr

Man muss bei der Generierung darauf achten, dass bei „Common Name“ der FQDN eingetragen wird. Das Zertifikat wird später nur für diesen FQDN gültig sein. Während dem Bestellprozess des „Standard SSL„-Zertifikats wird man aufgefordert den Inhalt der CSR Datei einzugeben. Daraus wird dann ein signiertes Zertifikat erstellt, welches auf dem Server eingebunden werden kann. Das signierte Zertifikat ist natürlich nicht an einzelne Dienste gebunden, sondern kann parallel für verschiedene Dienste genutzt werden.

Im Apache wird das Zertifikat wie folgt eingebunden. In diesem Beispiel legt man die Dateien unter Gentoo in das Verzeichnis „/etc/apache2/ssl/“ und bindet sie wie folgt in der Apache Konfiguration ein:

# vi /etc/apache2/vhosts.d/bknaus.de.conf
...
SSLEngine on
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv3:+EXP:+eNULL
SSLCertificateFile conf/ssl/bknaus.de.crt
SSLCertificateKeyFile conf/ssl/bknaus.de.key
SSLCertificateChainFile conf/ssl/gd_bundle.crt
...
# /etc/init.d/apache2 configtest
# /etc/init.d/apache2 restart

Verbindet man sich jetzt per HTTPS auf die Domain, sollte keine Fehlermeldung mehr auftreten und durch einen Klick auf bild-7 im Firefox, kann man sich die Inhalte des Zertifikats anzeigen lassen:

GoDaddy Zertifikat von bknaus.de

Auch Courier IMAP kann mit diesem SSL-Zertifikat umgehen. Dabei muss aber vorher eine PEM Datei erzeugt werden:

# cd /etc/courier-imap
# vi imapd-ssl
TLS_CERTFILE=/etc/courier-imap/bknaus.de.pem
TLS_TRUSTCERTS=/etc/courier-imap/gd_bundle.crt

# cp /etc/apache2/ssl/bknaus.de.key .
# cp /etc/apache2/ssl/bknaus.de.crt .
# cp /etc/apache2/ssl/gd_bundle.crt .
# cat bknaus.de.key bknaus.de.crt > bknaus.de.pem
# openssl gendh >> bknaus.de.pem
# /etc/init.d/courier-imapd-ssl restart

Natürlich kann auch netqmail mit dieser PEM Datei umgehen. Hier muss sie nur in den entsprechenden Ordner kopiert werden:

# cp /etc/courier-imap/bknaus.de.pem /var/qmail/control/servercert.pem
# /etc/init.d/svscan restart

Andere Dienste wie Postfix, OpenVPN und Co, lassen sich prinzipiell auch mit diesem Zertifikat absichern. Nahezu alle Browser und Mailprogramme enthalten das root-Zertifikat von GoDaddy, so dass man mit weniger als 25€ pro Jahr ein professionelles Sicherheitsniveau seiner SSL geschützten Dienste erreichen kann.