Aus welchem Grunde sollte man die Zertifikate zwingend validieren
müssen? Für STARTTLS (um das es hier offentsichtlich geht) reicht
bereits ein selbst-signiertes Zertifikat, und schon hat man
Verschlüsselung auf dem Transportweg. Und wenn man dann noch PFS
einschaltet, ist erstmal alles gut. Im Gegenteil: Durch die
Unabhängigkeit von einer öffentlichen CA läuft man auch nicht Gefahr,
durch eine kaputte CA kompromittiert zu werden.
Natürlich hat man dann nicht seinen Kommunikationspartner sicher
authentisiert, sodass man mit DNS Spoofing angreifbar wäre. Dagegen
hilft DNSSEC, das ist korrekt dargestellt.
müssen? Für STARTTLS (um das es hier offentsichtlich geht) reicht
bereits ein selbst-signiertes Zertifikat, und schon hat man
Verschlüsselung auf dem Transportweg. Und wenn man dann noch PFS
einschaltet, ist erstmal alles gut. Im Gegenteil: Durch die
Unabhängigkeit von einer öffentlichen CA läuft man auch nicht Gefahr,
durch eine kaputte CA kompromittiert zu werden.
Natürlich hat man dann nicht seinen Kommunikationspartner sicher
authentisiert, sodass man mit DNS Spoofing angreifbar wäre. Dagegen
hilft DNSSEC, das ist korrekt dargestellt.