там нет такого понятия, как "SmartHost отпечатков пальцев". Это отпечатки пальцев сертификата TLS, которые просто, оказывается, принадлежат серверам ретрансляции SMTP (smarthosts) в этом контексте – но все здесь применяется одинаково к IMAPS, HTTPS, FTPS... все, что использует TLS.
отпечатки сертификатов TLS обычно вообще не зависят от клиента: это хэш SHA1 (или SHA256) сертификата сервера, и вообще серверы используют один и тот же сертификат для все.
но одним исключением могут быть серверы за балансировщиком нагрузки: крупные сайты могут иметь несколько серверов за одним именем, и хотя они может share один сертификат, это далеко не гарантировано-они могли бы легко использовать 20 или 50 сертификатов сразу, тоже.
и даже для одного сервера,это на самом деле очень вероятно что отпечаток пальца изменится - она будет различна каждый раз сертификат продлен (из-за изменения дат действия) или переиздан по любой другой причине (новый закрытый ключ, новый издатель или новое доменное имя...)
в то время как раньше сертификаты выдавались в течение 3-5 лет (и устанавливались вручную), новая практика заключается в автоматизации процесса и использовании короткоживущих сертификаты, обычно 90 или даже 45 дней. Google делает это с ок. 2014, и это, как Давайте шифровать работает с первого дня. (По Ca / B форум правила, даже" стандартные " долгосрочные сертификаты TLS теперь ограничены до 2 лет.)
Так единственный раз tls_fingerprint опция полезна, когда вы знаете ровно когда сертификат должен измениться (например, если вы тот, кто его меняет). В противном случае он будет просто продолжать ломать вашу конфигурацию каждый месяц или два.
на практике, по крайней мере дистрибутивы Linux достаточно быстро обновляют свои пакеты сертификатов CA. (Я имею в виду, если они не, вы уверены, что вообще хотите запустить эту ОС на своем компьютере?)
поэтому я бы сказал, что статья пытается напугать своих читателей неправильными проблемами. Гораздо большую озабоченность вызывает то, что пакеты ca cert часто включают несколько теневых, контролируемых правительством CAs из разных стран.
Вариант 1: если вы хотите, вы могли бы сделать custom tls_trust_file, содержащий только один CA, который использует поставщик: например. скажите msmtp доверять только DigiCert и ничего больше. Это распространенный метод, называемый "СА закрепления". Но у него все еще есть некоторый шанс поломки, поскольку администраторы сервера могут свободно выбирать, с какими центрами сертификации они будут иметь дело.
вариант 2: некоторые программы поддерживают другой тип отпечатков пальцев - spki отпечатки пальцев (хэши subjectPublicKeyInfo). Они только представляют сырую пару ключей и не включают никаких дополнительных метаданных сертификата. Сервер может периодически обновляйте свой сертификат, сохраняя ту же пару ключей и, следовательно, тот же отпечаток spki.
(однако, даже если ваш клиент поддерживает снятие отпечатков пальцев SPKI (msmtp не поддерживает), это будет иметь преимущество, только если вы знаете, что администраторы сервера обновляют свои сертификаты таким образом. Большую часть времени они этого не делают.)
Komp
3654
