Zum Inhalt springen
Deutsch

Verbindungsanalysator

Unsinnige Überprüfung auf feste RSA-Verschlüsselungsarten

Abschnitt betitelt „Unsinnige Überprüfung auf feste RSA-Verschlüsselungsarten“

Wenn der private Schlüssel des Serverzertifikats vom Typ RSA ist, ist alles in Ordnung:

$ openssl s_client -no_tls1_3 -connect mail.grommunio.com:443
0 s:CN = mail.grommunio.com
i:C = US, O = Let's Encrypt, CN = R3
a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256
v:NotBefore: Aug 27 21:02:07 2024 GMT; NotAfter: Nov 25 21:02:06 2024 GMT
...
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384

Let's Encrypt (certbot) erzeugt ECDSA-Signaturen, was bedeutet, dass die Verschlüsselungsalgorithmen stattdessen ECDHE-ECDSA sind, und der Connection Analyzer verhält sich völlig unsinnig.

$ openssl s_client -no_tls1_3 -connect a4.inai.de:443
0 s:CN = a4.inai.de
i:C = US, O = Let's Encrypt, CN = R3
a:PKEY: id-ecPublicKey, 256 (bit); sigalg: RSA-SHA256
v:NotBefore: Sep 23 22:10:43 2024 GMT; NotAfter: Dec 22 22:10:42 2024 GMT
...
Protocol : TLSv1.2
Cipher : ECDHE-ECDSA-AES256-GCM-SHA384