Tôi chạy một trang web và có chứng chỉ ký tự đại diện hợp lệ được cài đặt để phục vụ các trang HTTPS. Tôi vừa thiết lập postfix trên máy chủ Ubuntu của mình và theo mặc định, cấu hình của nó bao gồm:
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
Tôi có thể thay đổi các snakeoilcerts này thành certs tôi đã mua không? Nếu tôi có thể, tôi nên?
Câu trả lời:
Điều này phụ thuộc vào những gì bạn muốn và chi tiết thiết lập của bạn.
Dịch vụ smtpd : Chứng chỉ có Tên chung (CN) như bạn biết, giữ tên miền hợp lệ. Nói điều này example.comvà *.example.com, như là một trường hợp điển hình cho certs dành cho web.
Nếu tên máy chủ của mailserver là mail.example.com(tên miền trong bản ghi MX có vấn đề ở đây), chứng chỉ được cung cấp bởi mailserver có hiệu lực để example.combao gồm tên miền phụ và xác thực (nếu được thực hiện) thành công. Nếu tên máy chủ của mailserver (tên trong bản ghi MX) không khớp (ví dụ externalservice.example.net), nó sẽ thất bại.
Trong trường hợp chứng nhận tự ký, CN hy vọng phù hợp với FQDN, nhưng chắc chắn nó không được ký bởi một chứng chỉ đáng tin cậy.
Vì vậy, cả hai biến thể có thể thất bại. Hãy chắc chắn, FQDN của mailserver khớp với CN của cert (hoặc ngược lại). Ngoài ra, cung cấp chuỗi chứng chỉ cho các CA gốc. Xem các tài liệu cho việc này.
Nhưng thật không may, nó là rất phổ biến để sử dụng tự ký và không đáng tin cậy tự ký, lỗi thời hoặc không có giấy chứng nhận cho tất cả các máy chủ thư. Chỉ có một số ít các mailservers hoạt động có certs hợp lệ. Tôi đã thấy một cuộc khảo sát gần đây cho thấy chỉ có khoảng 5% hoặc ít hơn có chứng chỉ hợp lệ, nhưng tôi không thể tìm thấy nó vào lúc này. Sẽ liên kết nó sau khi tôi tìm thấy nó.
Trong trường hợp dịch vụ đệ trình , việc xác thực quan trọng hơn, vì người dùng thực kết nối với dịch vụ và có thể nhận được cảnh báo chứng chỉ. Các MUA so sánh miền được định cấu hình cho thư đến và đi với CommonName được sử dụng. Giống như đối với smtp áp dụng ở đây, nhưng người dùng sẽ phàn nàn, nếu họ nhận được cảnh báo tin cậy hoặc kết nối không thành công. Khi bạn có chứng chỉ ký tự đại diện, bạn có thể sử dụng một cách an toàn smtp.example.comlàm tên máy chủ cho các loại tác vụ này. Không có ký tự đại diện, nó không dễ dàng như vậy.
Bạn có thể và bạn nên (trừ khi bạn muốn sử dụng chứng chỉ cụ thể của máy chủ).
Về mặt kỹ thuật, bạn có thể sử dụng bất kỳ chứng chỉ nào bạn muốn, bao gồm cả snakoil. Nó chỉ là một chứng chỉ tự ký với một định danh không khớp. Tuy nhiên, tốt nhất là sử dụng chứng chỉ phù hợp với những gì khách hàng hợp pháp sẽ sử dụng để liên hệ với chủ nhà. Điều này phụ thuộc vào thiết lập của bạn. Nếu mọi người đang cố gắng để đạt được mail.example.comchứng chỉ nên phù hợp mail.example.com. Nếu họ đang cố gắng để đạt được example.comnó nên phù hợp với điều đó. *.example.comphù hợp mail.example.com, nhưng không example.com. Không phải là tôi khuyên bạn nên sử dụng tên miền trần cho loại điều này.
Ngoài ra, bạn có thể muốn không bị tổn thương với POODLE.
smtpd_tls_protocols = !SSLv2, !SSLv3
Điều này quan trọng hơn nếu bạn đang thực hiện auth, nhưng đó cũng là một ý tưởng tốt.
mail.mydomain.comhay chỉmydomain.com?