Änderungen bei LetsEncrypt bis Mai 2026

Post by **mhagge** » Thu 16. Oct 2025, 15:07

Moin,

ich will nicht behaupten, dass ich da alles verstehe, und vielleicht habe ich auch was übersehen, aber bekommen wir Probleme mit den LetsEncrypt-Zertifikaten und SMTP? Wie geht Keyhelp ggf. damit um?

https://letsencrypt.org/2025/05/14/endi ... entication

https://community.letsencrypt.org/t/do- ... eku/237427

Viele Grüße
Markus

tab-kh · Post by **tab-kh** » Sat 18. Oct 2025, 22:23

Soviel (oder eher so wenig) ich dort verstehe, geht es im Wesentlichen um mTLS, also gegenseitige Authentifizierung von Servern (wobei einer der Server netzwerktechnisch eigentlich der Client ist). Beim "normalen" Mailversand wird in der Regel kein Client-Zertifikat geprüft.

Ralph · Post by **Ralph** » Sun 19. Oct 2025, 08:35

tab-kh wrote: ↑Sat 18. Oct 2025, 22:23 Beim "normalen" Mailversand wird in der Regel kein Client-Zertifikat geprüft.

Bei Client Logins (SMTP) wird serverseitig via TLS Auth geprüft, beim Empfang zum Server selbst sollte es keine Probleme machen, aber möglicherweise auch bei IMAP/POP3 Clients. Die Ankündigung ist etwas schwammig formuliert ... ich denke es könnte Probleme verursachen.

Post by **Jolinar** » Sun 19. Oct 2025, 09:35

Ralph wrote: ↑Sun 19. Oct 2025, 08:35 Bei Client Logins (SMTP) wird serverseitig via TLS Auth geprüft, beim Empfang zum Server selbst sollte es keine Probleme machen, aber möglicherweise auch bei IMAP/POP3 Clients. Die Ankündigung ist etwas schwammig formuliert ... ich denke es könnte Probleme verursachen.

Die angekündigte Änderung wird für 99.999% der KeyHelp Nutzer keine Probleme verursachen.
Es wird nur die Möglichkeit abgeschafft, sich mittels Client Cert am System zu authentisieren.
Ein KH Setup ist aber auf Password Login und nicht auf Cert Login ausgerichtet.

Ralph · Post by **Ralph** » Sun 19. Oct 2025, 10:02

Jolinar wrote: ↑Sun 19. Oct 2025, 09:35 Die angekündigte Änderung wird für 99.999% der KeyHelp Nutzer keine Probleme verursachen.
Es wird nur die Möglichkeit abgeschafft, sich mittels Client Cert am System zu authentisieren.
Ein KH Setup ist aber auf Password Login und nicht auf Cert Login ausgerichtet.

Danke, so ist es nachvollziehbar ... die LetsEncrypt Ostereier aus der Vergangenheit liegen mir noch schwer im Magen

Ich war nur etwas irritiert ob nach der Änderung "Password Login" via TLS Auth weiterhin unterstützt wird ...

Post by **Jolinar** » Sun 19. Oct 2025, 10:10

BTW:
Client Cert basierte Logins sind was feines

Allerdings sind LE Certs dafür sowieso nicht (oder nur sehr eingeschränkt) geeignet.
Wenn man sowas umsetzen will, setzt man sich besser eine eigene PKI auf.

Post by **mhagge** » Sun 19. Oct 2025, 10:16

Jolinar wrote: ↑Sun 19. Oct 2025, 09:35
Ralph wrote: ↑Sun 19. Oct 2025, 08:35 Bei Client Logins (SMTP) wird serverseitig via TLS Auth geprüft, beim Empfang zum Server selbst sollte es keine Probleme machen, aber möglicherweise auch bei IMAP/POP3 Clients. Die Ankündigung ist etwas schwammig formuliert ... ich denke es könnte Probleme verursachen.
Die angekündigte Änderung wird für 99.999% der KeyHelp Nutzer keine Probleme verursachen.
Es wird nur die Möglichkeit abgeschafft, sich mittels Client Cert am System zu authentisieren.
Ein KH Setup ist aber auf Password Login und nicht auf Cert Login ausgerichtet.

Danke für die Aufklärung. So halb war ich auch auf diesem Weg, aber mich haben die Kommentare dazu (und eine Diskussion auf der Mailop-Mailingliste) etwas bedenklich gestimmt (da gab es einige, die von breit gefächerten Problemen dadurch ausgingen). Nun wurde es da aber auch sehr technisch und so weit stecke ich da jetzt auch nicht drin, deswegen war ich mir nicht ganz sicher.

Änderungen bei LetsEncrypt bis Mai 2026

Änderungen bei LetsEncrypt bis Mai 2026

Re: Änderungen bei LetsEncrypt bis Mai 2026

Re: Änderungen bei LetsEncrypt bis Mai 2026

Re: Änderungen bei LetsEncrypt bis Mai 2026

Re: Änderungen bei LetsEncrypt bis Mai 2026

Re: Änderungen bei LetsEncrypt bis Mai 2026

Re: Änderungen bei LetsEncrypt bis Mai 2026