O preenchimento do nome do país, estado, etc. é importante ao criar um certificado autoassinado para o Postfix?

3

Quando eu configuro o Postfix, tenho que criar um certificado porque o certificado snakeoil incluído no Postfix está lá estritamente para fins de demonstração. Eu uso este comando:

sudo openssl req -x509 -newkey rsa:4096 -sha512 -keyout postfix-key.pem -out postfix-cert.pem -days 3650

Isso me avisa com o nome do país, nome do estado ou da província, etc.

Existe alguma finalidade no contexto do Postfix em que alguém se preocupe em preencher o certificado com a maior precisão possível, em vez de usar os padrões? Eu estou tentando fazer o meu servidor Postfix tão legítimo quanto possível para evitar a lista negra e tal, então eu estou querendo saber se preencher o certificado com a maior precisão possível faria qualquer diferença, por exemplo, ao enviar um email do meu servidor Postfix para um Conta do Gmail.

    
por Harold Fischer 16.05.2018 / 18:31

3 respostas

3

Se você está feliz em ter essa informação em domínio público, não faz mal preenchê-la. No entanto, não há necessidade real de transmitir esses dados (por exemplo, como cidadão particular, eu não gosto de ter esse tipo de informação divulgada no banco de dados WHOIS). Para receber MTAs para aceitar SMTP sobre TLS, você nem precisa garantir que o FQDN do seu servidor de e-mail esteja listado no certificado Nome Comum ou Nomes DNS (Assunto Nome alternativo) como é necessário para HTTPS.

Na minha experiência, os detalhes do certificado X.509 não influenciam se um MTA remoto trata as conexões SMTP como legítimas. Realizei um experimento agora reconfigurando meu servidor Postfix para usar um certificado X.509 que havia expirado há seis dias e enviei alguns e-mails usando-o. Todos os recebedores de MTAs aceitaram as mensagens; Os cabeçalhos do GMail verificaram que a mensagem foi recebida via TLS 1.2.

Usando um endereço IP não incluído na lista negra e configurando SPF , DKIM, DNS reverso confirmado para frente e outro relacionado são as melhores formas de o seu email ser tratado como legítimo.

Atualmente, a maioria dos servidores de e-mail está configurada para aceitar certificados auto-assinados para SMTP sobre TLS, mas isso pode não acontecer nos próximos anos. Para garantir, o FQDN do meu servidor de e-mail está incluído nos DNS Names (Nome alternativo do assunto) do certificado e que o certificado seja assinado (gratuitamente) pela incrível Let's Encrypt Certificate Authority.

    
por 16.05.2018 / 19:46
1

TLS oportunista

Servidores de e-mail geralmente não exigem validação de "quem" você é; e assim, um certificado auto-assinado é suficiente na maioria dos casos. Meu servidor de e-mail regenera seus certificados assinados de hora em hora, porque.

[snip]

openssl req -new -subj "/CN=${fqdn}" -key ${dir}/${ymd}.key -out ${dir}/${ymd}.csr

openssl x509 -req -days 2 -in ${dir}/${ymd}.csr -sha256 -CA ${dir}/${ymd}.ca.crt -CAkey ${dir}/${ymd}.ca.key -set_serial ${ymd} -out ${dir}/${ymd}.crt

O acima é um trecho de tudo que eu já usei. $ {ymd} é apenas uma data para o arquivo. $ {fqdn} é o nome DNS do meu servidor de e-mail.

Em alguns casos, um relacionamento business-to-business pode exigir a validação de "quem" você é. Nesse caso, você deseja um certificado assinado ou configurar um certificado de CA pública compartilhado entre suas organizações, caso não confie em uma autoridade de certificação para seu caso de uso. Algumas organizações financeiras fazem isso.

    
por 16.05.2018 / 21:19
0

Não há motivo para colocar todas as informações no certificado autoassinado. A única razão é se um usuário quiser inspecioná-lo.

    
por 16.05.2018 / 21:51