openssl

Eine HTTPS Verbindung mit SNI:

openssl s_client -connect www.pimux.de:443 -servername www.pimux.de < /dev/null 2>/dev/null | openssl x509 -fingerprint -sha256 -noout -in /dev/stdin

Eine SMTP Verbindung mit StartTLS:

openssl s_client -connect mail.pimux.de:25 -starttls smtp < /dev/null 2>/dev/null | openssl x509 -fingerprint -sha256 -noout -in /dev/stdin

Eine XMPP s2s Verbindung mit StartTLS:

openssl s_client -connect xmpp.pimux.de:5269 -starttls xmpp < /dev/null 2>/dev/null | openssl x509 -fingerprint -sha256 -noout -in /dev/stdin

Natürlich können die meisten Browser, Mail-Clients und sonstige Anwendungen Zertifkate anzeigen, aber dieser Weg ist praktischerweise sehr universell.

Meiner Meinung nach ist es an der Zeit, “Ernst zu machen”, und seriöse Transportverschlüsselung einzuführen. Verpflichtend. Für alle. Ohne Ausnahmen – ohne wenn und aber.

Leider ist bei einem Großteil aller XMPP Server die Transportverschlüsselung nicht optimal konfiguriert. Nicht jeder Server setzt vertrauenswürdige SSL/TLS Zertifikate ein, was dazu führt, dass diese häufig von anderen Servern nicht validiert werden. Hiermit ist eine möglichst hohe Anzahl an Servern erreichbar. Ich muss gestehen, dass ich es mit meinem verhältnismäßig kleinem XMPP Server pimux.de ebenfalls diesen Fehler gemacht habe, da ansonsten ein knappes Dutzend Server nicht mehr von pimux.de erreichbar wäre. Zwar hatte ich die Verschlüsselung für Client- und Server-Verbindungen vorausgesetzt, bei der Validierung habe ich aber noch ein Auge zugedrückt.

Ich habe mir aber Thomas Leisters Aufforderung zu Herzen genommen und werde ebenfalls ab jetzt Zertifikate korrekt validieren. Je mehr Server dies tun, desto eher werden die abgehängten Server vertrauenswürdige Zertifikate einsetzen. Das hoffe ich jedenfalls.