Seite 11: SSL-Reparatur

Inhaltsverzeichnis

In vielen Netzwerken, die mittels einer Network Adress Translation vom Internet abgeschottet sind, dürften die SSL-Zertifikate des Mail-Servers fehlerhaft sein. Solche LANs haben oftmals gar keine Domain-Definition oder der Router-Hersteller hat per DHCP seine eigene provisorische ausgeteilt und der Server-Mac hat sie übernommen. Beispielsweise verteilt die in Deutschland sehr verbreitete Fritz!Box im LAN grundsätzlich den Suchdomain-Eintrag „fritz.box“. Betreiber von größeren Netzwerken nutzen hingegen im LAN oftmals andere Domains als nach außen hin. In diesen Fällen sind die automatisch erzeugten Zertifikate auf einen falschen Namen ausgestellt und daher Makulatur.

Auf welchen Namen die Zertifikate ausgestellt sind, verrät die Server.app, wenn man im Bereich Hardware auf den Servernamen klickt und dann im Bereich „Einstellungen“ auf „Zertifikat“ – als Dateinamen setzt die Server.app nämlich geschickterweise gleich den kompletten Domain-Namen ein, sodass die Zuordnung sofort klar ist.

Wenn die Zertifikate auf einen falschen und möglicherweise generischen Namen ausgestellt sind, beispielsweise auf lionserver.fritz.box, können Angreifer ihren Mail-Serverbenutzern leicht vorgaukeln, dass sie mit Ihrem Mail-Server verbunden sind und auf diese Weise etwa Passwörter für den Mail-Server-Zugang erschleichen.

Um neue SSL-Zertifikate zu erzeugen, stellen Sie zunächst den Geräte- und Domain-Namen korrekt ein. Öffnen Sie dafür die Server.app und klicken Sie im Bereich „Netzwerk“ auf „Bearbeiten“. Nun startet ein Assistent, der die Variablen für den „Hostnamen für das Internet“ abfragt und in den meisten relevanten Dateien einträgt – beispielsweise auch im lokalen DNS-Nameserver. Leider belässt es der Assistent beim ursprünglich automatisch erstellten SSL-Zertifikat und baut kein neues (siehe /etc/certificates/), sodass sich Server-Dienste weiterhin mit dem alten Namen melden, der von den Clients zu Recht moniert wird. Man muss also ein neues Zertifikat per Hand zusammenklicken. Aber das schadet nicht, denn das automatisch erzeugte gilt ohnehin nur für ein Jahr.