Use Vamos Criptografar certificado para servidor de correio

4

Atualmente, tenho um certificado StartSSL gratuito para o meu servidor de correio (postfix / dovecot). É claro que funciona bem, mas vamos criptografar certificados para trabalhar com mais facilidade e rapidez. Meu servidor Apache também usa um certificado Let's Encrypt.

Então, se eu decidir usar um certificado Let's Encrypt para meu servidor, outro servidor de e-mail rejeitará meus e-mails? Quantos aceitaremos Vamos criptografar certificados no mundo dos e-mails?

Eu sei que todos os navegadores recentes aceitam certificados "Vamos criptografar". Então, vamos criptografar certificados são bons para web. A menos que um usuário trabalhe com o Windows XP e use um navegador comum a partir desse momento, a Web será exibida adequadamente sem o diagnóstico do navegador.

Mas e um servidor de e-mail? Alguém tem experiência com Vamos criptografar certificados para email? Especificamente, minha preocupação não é com grandes empresas como Gmail, Yahoo ou Hotmail, mas com outros servidores privados de outras empresas que talvez não aceitem meu certificado.

OBSERVAÇÃO Também estou preocupado com clientes de e-mail antigos, como o Outlook 2007 (alguns dos meus clientes ainda usam, e até mesmo o Outlook Express) e smartphones (iPhones ou Android).

ON - PERGUNTA EXTRA TÓPICO Os produtos da Microsoft delegam o gerenciamento de certificados ao SO ou a outros produtos da Microsoft? Porque se bem me lembro, pelo menos no Outlook 2003 e / ou 2007, o gerenciamento de certificados estava no comando do navegador IE; e, se bem me lembro, instalar um certificado de usuário em um navegador como o Firefox, efetivamente instalei o certificado também no próprio sistema operacional (porque acho que ficou disponível em todo o sistema). Então, se eu estiver certo e mesmo que um cliente meu tenha um antigo cliente de e-mail, o certificado deve ser aceito automaticamente (supondo que ele tenha um navegador moderno aceitando o Let's Encrypt CAs), porque as CAs raiz do Chrome ou O Firefox está disponível em todo o sistema.

Resumindo: Devo correr o risco de mudar para o Let's Encrypt para o meu servidor de e-mail ou é melhor esperar pelo menos mais um ano.

    
por Peregring-lk 25.10.2016 / 16:46

1 resposta

5

IMHO: Sim, o LE está pronto para produção.

SMTP

O Letsencrypt funciona muito bem para as comunicações do Mutual-TLS entre servidores de correio. Muitos servidores suportam certificados TLS Oportunistas com certificados Auto-assinados, em casos raros, você encontrará um MTA que requer conexões TLS protegidas publicamente ou protegidas por DANE.

Eu uso LE Certs em todos os meus servidores de postfix, e checktls.com me dá todas as luzes verdes!

[000.100]Connectedtoserver[000.405]<--220vegas.localdomainESMTPPostfix[000.405]Weareallowedtoconnect[000.406]-->EHLOchecktls.com[000.500]<--250-vegas.localdomain250-PIPELINING250-SIZE52428800250-VRFY250-ETRN250-STARTTLS250-ENHANCEDSTATUSCODES250-8BITMIME250DSN[000.500]Wecanusethisserver[000.501]TLSisanoptiononthisserver[000.501]-->STARTTLS[000.595]<--2202.0.0ReadytostartTLS[000.596]STARTTLScommandworksonthisserver[000.827]SSLVersioninuse:TLSv1.2[000.827]Cipherinuse:ECDHE-RSA-AES128-SHA256[000.828]ConnectionconvertedtoSSL[000.855]Certificate1of3inchain:subject=/CN=vegas.jacobdevans.comissuer=/C=US/O=Let'sEncrypt/CN=Let'sEncryptAuthorityX3[000.882]Certificate2of3inchain:subject=/C=US/O=Let'sEncrypt/CN=Let'sEncryptAuthorityX3issuer=/O=DigitalSignatureTrustCo./CN=DSTRootCAX3[000.908]Certificate3of3inchain:subject=/O=DigitalSignatureTrustCo./CN=DSTRootCAX3issuer=/O=DigitalSignatureTrustCo./CN=DSTRootCAX3[000.909]CertVALIDATED:ok[000.909]CertHostnameVERIFIED(vegas.jacobdevans.com=vegas.jacobdevans.com)[000.909]~~>EHLOchecktls.com[001.006]<~~250-vegas.localdomain250-PIPELINING250-SIZE52428800250-VRFY250-ETRN250-ENHANCEDSTATUSCODES250-8BITMIME250DSN[001.007]TLSsuccessfullystartedonthisserver

POP/IMAP

OscertificadosLetsencryptsãoCross-Signed,portanto,mesmoqueosistemaoperacionalnãosuportearaiz,elejápodeconfiarnocertificadoraizcomassinaturacruzada.Aocontráriodofirefox,oOutlookusaaCATrustinterna,quevocêpodecontrolarcomGPOseusarqualquerautoridadedecertificaçãodesejada(comoCAsassinadasinternamente)

link

    
por 25.10.2016 / 16:52