Postfix (Ubuntu 14.04) Certificados SSL Diferente - Qualquer coisa para realmente se preocupar?

Navegue suas respostas
3

Eu tenho um servidor Ubuntu 14.04 executando o Postfix - que está enviando mensagens através de um host externo (Mandrill).

Eu não tenho problemas para enviar e-mail - mas (antes de desabilitar o TLS - o que parece não ter causado nenhum problema) - em cada e-mail enviado, recebo o erro -

postfix/postfix-script[4557]: warning: /var/spool/postfix/etc/ssl/certs/ca-certificates.crt and /etc/ssl/certs/ca-certificates.crt differ

Desde que desabilitou o TLS, não recebo mais o aviso ao enviar um email (não supostamente) - no entanto, ele é visto na inicialização do serviço (e nas verificações agendadas do serviço de cron).

O servidor hospeda vários domínios - mas apenas envia e-mails de um.

A solução óbvia que parece ser copiar os arquivos de certificado para o diretório Postfix (adoraria lembrar quais arquivos além do .crt eu preciso mover!)?

Ou isso é um aviso que eu realmente não preciso me preocupar?

Qualquer ajuda muito apreciada.

Richard.

    
por Richard Crosby 06.09.2015 / 05:24

1 resposta

4

Você não precisa se preocupar com isso, por vários motivos.

  1. A causa imediata da mensagem de log é que várias partes do Postfix são executadas chroot sob /var/spool/postfix , e assim essas partes procurarão em /var/spool/postfix/etc/ssl/certs/ca-certificates.crt para obter a lista de âncoras de confiança TLS usadas para validar os certificados apresentados. Em teoria, um ca-certificates.crt desatualizado pode significar que essas partes do Postfix não podem reconhecer um certificado "válido" como tal, ou não desconfiar de um certificado emitido por uma CA que foi excluída. Na prática, a lista de raízes confiáveis muda tão raramente que é improvável que seja um problema.

  2. O SMTP-sobre-TLS não é como o HTTPS, no que diz respeito à confiabilidade dos certificados. Praticamente, nenhum servidor SMTP em execução na Internet verifica se os certificados apresentados são confiáveis, pois muitos certificados falham na validação - seja por incompatibilidade de nomes, expiração ou emissão por uma autoridade de certificação não confiável (geralmente não autorizada, mas nem sempre) ). Os operadores SMTP, em geral, são da opinião de que os invasores passivos são mais preocupantes do que os invasores ativos, portanto, a criptografia para um endpoint não confiável é melhor do que não ser criptografada (o que aconteceria automaticamente se a conexão protegida por TLS fosse rejeitada). / p>

Sim, a solução óbvia é copiar o arquivo que está sendo reclamado para o chroot. Não há outros arquivos para copiar, porque não é o próprio par de chave / cert do Postfix que você está copiando, é apenas a lista de âncoras de confiança, que estão todas contidas em um único arquivo.

    
por 06.09.2015 / 05:51

Tags

codifica URL com URL - apache mod-proxy (ProxyPass) Falha ao iniciar stunnel4 no Ubuntu 15.04