Der hauptsächliche Grund, auf eine externe Zertifizierungsstelle zurückzugreifen, ist meistens derselbe. Die Stammzertifikate sind in den gängigen Systemen vorinstalliert. Ich habe StartSSL nur deswegen benutzt und werde nun wieder eigene Stammzertifikate verwenden, die dann einfach manuell installiert werden müssen. So weit kein Problem. Es bleiben zwei Dinge, die ich damit nicht hinbekomme. Vielleicht hat jemand hier eine Lösung dafür.
1. SMTP mit Verschlüsselung. Ich meine damit nicht den Versand vom MUA zum MTA über Port 587. Der kann weiterhin verschlüsselt stattfinden, weil ich die Stammzertifikate ja installiert habe. Für den Kommunikationsweg MTA zu MTA kann ich nun aber keine Verschlüsselung mehr anbieten. Der empfangene MTA kennt meine Stammzertifikate nicht und lehnt die Verbindung entsprechend ab. Meine Lösung: Keine Verschlüsselung mehr auf Port 25 anbieten. Jemand eine bessere Idee?
2. Codesignierung. Komme ich irgendwie drum herum, nur dafür ein "echtes" Zertifikat erwerben zu müssen, damit z.B. Windows meine Software als vertrauenswürdig anerkennt? Bei Comodo hat so ein Zertifikat vor ein paar Jahren schlappe 150€ im Jahr gekostet. Das wäre mir viel zu teuer. Könnte ich meine eigenen Stammzertifikate hierfür auch irgendwo manuell installieren, oder kann das nur Microsoft?