Zertifikat Mailserver

  • Guten Morgen,


    ich möchte am Wochenende gerne meinen eigenen Emailserver (Postfix, Dovecot, etc.) starten. Beim Testsystem funktioniert auch alles soweit.

    Via Lets Encrypt habe ich mir ein Standard-RSA2048 Zertifikat ausgestellt. Jedoch würde ich, sollten hier jetzt keine entschiedenen Einwände kommen, gerne auf ein EC-384 wechseln.

    Wie schaut es denn mit der Kompatibilität/Unterstützung bei ECC-Zertifikaten aus? Würdet ihr bei Mailservern eher zu RSA4096 raten? Oder zu einem Dual-Betrieb?

    Korrigiert mich sollte ich mich irren, aber es kommt doch nur auf die "cipher suite" an, ob die Server miteinander kommunizieren können. Dann wäre es erstmal egal welches Zertifikat ich nehme?


    Danke schonmal! :)

  • Bei Postfix entweder Dual oder nur RSA. Wenn du nur ECDSA fährst, dann kann es passieren, dass ältere Mailserverkonfigurationen nicht mehr mit TLS zustellen können.


    Ich weiß auch nicht, ob die üblichen Verdächtigen ECDSA Certs auch unterstützen.


    Bei Dovecot ist es quasi egal - hier kommt es darauf an, was deine Clients unterstützen. Wenn du weißt, dass deine Clients alle ECDSA unterstützen, kannst du RSA weglassen.


    2048er RSA reicht aktuell noch.