Hallo Ronny,
Am 16.03.23 um 18:29 schrieb ronny@seffner.de:
Der public key im bisherigen Zertifikat war irgendwas mit RSA und 4kBit groß, jetzt im neuen ist das irgendwas mit EC/ED und nur 384Bit.
Bei ECDSA sind die Keys deutlich kürzer, das ist normal.
Nur restlos verstanden habe ich den Hokus-Pokus nicht. Es hat ja nach immer das neue Zertifikat, die bis dato funktionierenden Ciphers "ungültig" gemacht.
Für ECDSA werden andere Ciphers verwendet als bei RSA. Das ist mir aus den entsprechenden Einstellungen beim Apache geläufig, wo das auch leicht bei https://www.ssllabs.com/ssltest/index.html zu testen ist. Das trifft aber genauso auf die Mailprotokolle zu, da sich die Einstellungen/Sicherheitslücken auf SSL/TLS beziehen.
Passende Einstellungen kann man sich hier zusammenstellen lassen: https://ssl-config.mozilla.org/
Wenn die Ciphers-Liste bei Dovecot/postfix keine kompatiblen Ciphers mehr enthält, dann passiert wollen die Clients auch nicht mehr mitspielen.
Gruß Rico