Очередная вспышка эпидемической паранойи

Jun. 27th, 2018 11:18 am
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner
https://www.eff.org/deeplinks/2018/06/announcing-starttls-everywhere-securing-hop-hop-email-delivery

EFF анонсировала инициативу starttls everywhere. В смысле "давайте зашифруем весь SMTP-траффик".

Причем сайт, через который они предлагают проверяться у них кривой. Я ожидал от них отчета в стиле который имели в свое время ssllabs
Длинный список с галочками


  • команда starttls поддерживается OK
  • список шифрсьютов современный OK
  • сертификат соответствует доменному имени тут у вас фигня какая-то
  • сертификат выписан известным нам authority фигня какая-то

А получаю "security of your mailbox is not so great" и все.
Блин, теперь, похоже все-таки придется на постфикс поставить сертификат от lets encrypt. А то начнут тут всякие проверять сертификаты у SMTP, у меня почта ходить перестанет. Хотя с моей точки зрения мой CA безопаснее lets'encrypt и starttls я там держу в основном ради своего почтового пароля. Интересно, а можно в postfix прикрутить разные сертификаты на 25 и 465 порты? Ну или хотя бы на 25 и 587?

P.S. А ssllabs говорит, что у меня категорически не хватает CAA записей в DNS.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2018-06-27 08:55 am (UTC)
dzz: Dizzy の冬 (Default)
From: [personal profile] dzz
> starttls everywhere

Торговцы сертификатами радостно потирают руки :)

Date: 2018-06-27 11:53 am (UTC)
beldmit: (Default)
From: [personal profile] beldmit
Нет. Let's Encrypt им руки существенно подрезал.

Date: 2018-06-27 12:01 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Вот, кстати, что ты мне посоветуешь:
1. Получить в letsencrypt yet another сертификат на имя mx.wagner.pp.ru
2. Переписать в DNS MX-запись с mx.wagner.pp.ru на mail.wagner.pp.ru (на который сертификат уже получается)?

Дополнительная информация - всем клиентам я настраиваю smtp сервер mail.wagner.pp.ru, и mx.wagner.pp.ru и mail.wagner.pp.ru имеют один и тот же IP.

Date: 2018-06-27 12:05 pm (UTC)
beldmit: (Default)
From: [personal profile] beldmit
Второй вариант во имя неумножения сущностей, ИМХО.

Date: 2018-06-27 12:09 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Ну да. В общем-то разные имена для mx и почтового сервера для клиентов там остались с древних времен, когда второе было на роутере в квартире.

Date: 2018-06-27 11:38 am (UTC)
beldmit: (Манул)
From: [personal profile] beldmit
Там он даёт три плашки, которые можно раскрыть.

Но глюки в проверяющем скрипте коллеги уже нашли.

Date: 2018-06-27 11:54 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Вот хрен я чего интересного при раскрытии этих плашек увидел.

Сейчас, кстати, лучше стало.
Edited Date: 2018-06-27 11:56 am (UTC)

Date: 2018-06-27 12:09 pm (UTC)
beldmit: (Default)
From: [personal profile] beldmit
Ну да, ты и так должен быть в курсе, что у тебя сертификат там самодельный. А вот hostname мог бы и правильный прописать :)

Date: 2018-06-27 12:12 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Засада в том, что с точки зрения клиента - правильный хостнейм который в сертификате.
У себя-то я могу любое количестов хостнеймов понапихать в Subject Alternative Name, а у летсэнкрипта по-моему на эту тему не забалуешь. Я, конечно могу ему написать заявку с таким SAN и со всех этих имен ему правильный challenge отдать по http (благо хост все рвно один), но не уверен что оно это сожрет.

Date: 2018-06-27 12:14 pm (UTC)
beldmit: (Программизм)
From: [personal profile] beldmit
С точки зрения текущих требований правильный, кажется, как раз в SAN.

Date: 2018-06-27 01:37 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Тут я немножко про другое - про то позволит ли letsencrypt два имени в SAN, если одно из них не является поддоменом второго. В смысле www.wagner.pp.ru и wagner.pp.ru - это пожалуйста. А вот сожрет заявку с mail и mx в одном домене - не уверен.

Date: 2018-06-27 01:55 pm (UTC)
phd_ru: (Default)
From: [personal profile] phd_ru
home.phdru.name и iskra-aviel.phdru.name в одном сертификате удаётся использовать. При этом phdru.name — другой сертификат на другом сайте.

Date: 2018-06-27 02:11 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Буду иметь в виду.

Date: 2018-06-28 12:22 am (UTC)
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (Default)
From: [personal profile] qkowlew
Какое-то, уже довольно большое время назад ещё не позволял.
Я из-за этого одному клиенту делал три виртуалхоста на сервере, каждый со своим сертификатом.

Date: 2018-06-29 02:52 pm (UTC)
llivejo: (Default)
From: [personal profile] llivejo
> все-таки придется на постфикс поставить сертификат от lets encrypt.

что мешает отдавать сразу два сертификата - один от let's encrypt, второй подписанный своим CA? в SSLlabs это называется certification paths, пусть ваш CA для них невалиден, проигнорируют лишнее

у меня
smtpd_tls_cert_file = /etc/ssl/certs/domain.combined.crt
в нем (1) сертификат letsencrypt (2) Let's Encrypt Authority X3 и (3) сертификат подписанный моим CA
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner
My Website

March 2026

S M T W T F S
1 2 34567
8 910 1112 13 14
15 1617181920 21
22 23 24 25 2627 28
293031    

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Mar. 29th, 2026 04:55 am
Powered by Dreamwidth Studios