О отпечатках пальцев Smarthost TLS

Как SmartHost с отпечатками определить? Зависят ли они только от smarthost или клиента?

Я настроил свой отпечаток пальца gmail smarthost некоторое время назад в моем старом Ubuntu, и он работал хорошо. Однако при настройке его снова в моем новом Ubuntu 18.04, я обнаружил, что старый параметр больше не работает.

потому что я не использовал свой Gmail smarthost, но мой провайдер, так что я не знаю, когда он ломается. Так теперь мой вопрос, это перерыв, потому что gmail изменил свой отпечаток пальца smarthost (очень маловероятно), или отпечатки пальцев smarthost отличаются между всеми машинами? То есть, Я не могу слепо скопировать то, что работает, даже на новую ОС на той же машине, верно?

кроме того, я пытался предыдущий способ получить SmartHost с отпечатками, как в статье, но это не работает для меня сейчас. Как правильно получить отпечатки пальцев smarthost?

Thx.

20
задан xpt
07.05.2023 5:02 Количество просмотров материала 3654
Распечатать страницу

1 ответ

там нет такого понятия, как "SmartHost отпечатков пальцев". Это отпечатки пальцев сертификата TLS, которые просто, оказывается, принадлежат серверам ретрансляции SMTP (smarthosts) в этом контексте – но все здесь применяется одинаково к IMAPS, HTTPS, FTPS... все, что использует TLS.

отпечатки сертификатов TLS обычно вообще не зависят от клиента: это хэш SHA1 (или SHA256) сертификата сервера, и вообще серверы используют один и тот же сертификат для все.

но одним исключением могут быть серверы за балансировщиком нагрузки: крупные сайты могут иметь несколько серверов за одним именем, и хотя они может share один сертификат, это далеко не гарантировано-они могли бы легко использовать 20 или 50 сертификатов сразу, тоже.

и даже для одного сервера,это на самом деле очень вероятно что отпечаток пальца изменится - она будет различна каждый раз сертификат продлен (из-за изменения дат действия) или переиздан по любой другой причине (новый закрытый ключ, новый издатель или новое доменное имя...)

в то время как раньше сертификаты выдавались в течение 3-5 лет (и устанавливались вручную), новая практика заключается в автоматизации процесса и использовании короткоживущих сертификаты, обычно 90 или даже 45 дней. Google делает это с ок. 2014, и это, как Давайте шифровать работает с первого дня. (По Ca / B форум правила, даже" стандартные " долгосрочные сертификаты TLS теперь ограничены до 2 лет.)

Так единственный раз tls_fingerprint опция полезна, когда вы знаете ровно когда сертификат должен измениться (например, если вы тот, кто его меняет). В противном случае он будет просто продолжать ломать вашу конфигурацию каждый месяц или два.


на практике, по крайней мере дистрибутивы Linux достаточно быстро обновляют свои пакеты сертификатов CA. (Я имею в виду, если они не, вы уверены, что вообще хотите запустить эту ОС на своем компьютере?)

поэтому я бы сказал, что статья пытается напугать своих читателей неправильными проблемами. Гораздо большую озабоченность вызывает то, что пакеты ca cert часто включают несколько теневых, контролируемых правительством CAs из разных стран.

Вариант 1: если вы хотите, вы могли бы сделать custom tls_trust_file, содержащий только один CA, который использует поставщик: например. скажите msmtp доверять только DigiCert и ничего больше. Это распространенный метод, называемый "СА закрепления". Но у него все еще есть некоторый шанс поломки, поскольку администраторы сервера могут свободно выбирать, с какими центрами сертификации они будут иметь дело.

вариант 2: некоторые программы поддерживают другой тип отпечатков пальцев - spki отпечатки пальцев (хэши subjectPublicKeyInfo). Они только представляют сырую пару ключей и не включают никаких дополнительных метаданных сертификата. Сервер может периодически обновляйте свой сертификат, сохраняя ту же пару ключей и, следовательно, тот же отпечаток spki.

(однако, даже если ваш клиент поддерживает снятие отпечатков пальцев SPKI (msmtp не поддерживает), это будет иметь преимущество, только если вы знаете, что администраторы сервера обновляют свои сертификаты таким образом. Большую часть времени они этого не делают.)

4
отвечен grawity 2023-05-08 12:50

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх