Page 1 of 1
Änderungen bei LetsEncrypt bis Mai 2026
Posted: Thu 16. Oct 2025, 15:07
by mhagge
Moin,
ich will nicht behaupten, dass ich da alles verstehe, und vielleicht habe ich auch was übersehen, aber bekommen wir Probleme mit den LetsEncrypt-Zertifikaten und SMTP? Wie geht Keyhelp ggf. damit um?
https://letsencrypt.org/2025/05/14/endi ... entication
https://community.letsencrypt.org/t/do- ... eku/237427
Viele Grüße
Markus
Re: Änderungen bei LetsEncrypt bis Mai 2026
Posted: Sat 18. Oct 2025, 22:23
by tab-kh
Soviel (oder eher so wenig) ich dort verstehe, geht es im Wesentlichen um mTLS, also gegenseitige Authentifizierung von Servern (wobei einer der Server netzwerktechnisch eigentlich der Client ist). Beim "normalen" Mailversand wird in der Regel kein Client-Zertifikat geprüft.
Re: Änderungen bei LetsEncrypt bis Mai 2026
Posted: Sun 19. Oct 2025, 08:35
by Ralph
tab-kh wrote: ↑Sat 18. Oct 2025, 22:23
Beim "normalen" Mailversand wird in der Regel kein Client-Zertifikat geprüft.
Bei Client Logins (SMTP) wird serverseitig via TLS Auth geprüft, beim Empfang zum Server selbst sollte es keine Probleme machen, aber möglicherweise auch bei IMAP/POP3 Clients. Die Ankündigung ist etwas schwammig formuliert ... ich denke es könnte Probleme verursachen.
Re: Änderungen bei LetsEncrypt bis Mai 2026
Posted: Sun 19. Oct 2025, 09:35
by Jolinar
Ralph wrote: ↑Sun 19. Oct 2025, 08:35
Bei Client Logins (SMTP) wird serverseitig via TLS Auth geprüft, beim Empfang zum Server selbst sollte es keine Probleme machen, aber möglicherweise auch bei IMAP/POP3 Clients. Die Ankündigung ist etwas schwammig formuliert ... ich denke es könnte Probleme verursachen.
Die angekündigte Änderung wird für 99.999% der KeyHelp Nutzer keine Probleme verursachen.
Es wird nur die Möglichkeit abgeschafft, sich mittels Client Cert am System zu authentisieren.
Ein KH Setup ist aber auf Password Login und nicht auf Cert Login ausgerichtet.
Re: Änderungen bei LetsEncrypt bis Mai 2026
Posted: Sun 19. Oct 2025, 10:02
by Ralph
Jolinar wrote: ↑Sun 19. Oct 2025, 09:35
Die angekündigte Änderung wird für 99.999% der KeyHelp Nutzer keine Probleme verursachen.
Es wird nur die Möglichkeit abgeschafft, sich mittels Client Cert am System zu authentisieren.
Ein KH Setup ist aber auf Password Login und nicht auf Cert Login ausgerichtet.
Danke, so ist es nachvollziehbar ... die LetsEncrypt Ostereier aus der Vergangenheit liegen mir noch schwer im Magen
Ich war nur etwas irritiert ob nach der Änderung "Password Login" via TLS Auth weiterhin unterstützt wird ...
Re: Änderungen bei LetsEncrypt bis Mai 2026
Posted: Sun 19. Oct 2025, 10:10
by Jolinar
BTW:
Client Cert basierte Logins sind was feines
Allerdings sind LE Certs dafür sowieso nicht (oder nur sehr eingeschränkt) geeignet.
Wenn man sowas umsetzen will, setzt man sich besser eine eigene PKI auf.
Re: Änderungen bei LetsEncrypt bis Mai 2026
Posted: Sun 19. Oct 2025, 10:16
by mhagge
Jolinar wrote: ↑Sun 19. Oct 2025, 09:35
Ralph wrote: ↑Sun 19. Oct 2025, 08:35
Bei Client Logins (SMTP) wird serverseitig via TLS Auth geprüft, beim Empfang zum Server selbst sollte es keine Probleme machen, aber möglicherweise auch bei IMAP/POP3 Clients. Die Ankündigung ist etwas schwammig formuliert ... ich denke es könnte Probleme verursachen.
Die angekündigte Änderung wird für 99.999% der KeyHelp Nutzer keine Probleme verursachen.
Es wird nur die Möglichkeit abgeschafft, sich mittels Client Cert am System zu authentisieren.
Ein KH Setup ist aber auf Password Login und nicht auf Cert Login ausgerichtet.
Danke für die Aufklärung. So halb war ich auch auf diesem Weg, aber mich haben die Kommentare dazu (und eine Diskussion auf der Mailop-Mailingliste) etwas bedenklich gestimmt (da gab es einige, die von breit gefächerten Problemen dadurch ausgingen). Nun wurde es da aber auch sehr technisch und so weit stecke ich da jetzt auch nicht drin, deswegen war ich mir nicht ganz sicher.