Utilizzo dei certificati autofirmati per il proprio server di posta

1

Ho letto più Q & A su questo argomento da qui e da altri siti SE. Tutti menzionano che i certificati autofirmati non sono raccomandati a causa degli attacchi MITM. Tuttavia, non ho trovato nulla con menzione di creare la tua CA e rilasciare certificati per i tuoi server.

La mia domanda si espande su questo argomento, poiché desidero sapere se la creazione della propria CA e l'emissione di certificati per il server riducono la possibilità di un attacco MITM. Terrò la chiave privata CA in locale per impedire a chiunque di generare certificati aggiuntivi. Essendo la mia CA, posso verificare nel certificato che sono proprio io a generarlo e che il traffico non è "falsificato". Vorrei copiare la chiave di pubblicazione CA su tutti i miei dispositivi in modo che il messaggio di avviso non venisse più visualizzato.

Anche se questo fa sorgere un'altra domanda, l'attacco può creare la propria CA usando le mie informazioni inserite e generare anche una chiave SSL per ingannarmi? In che modo differire un certificato firmato a questo punto?

Mi sembra che essere la propria CA o utilizzare una CA attendibile non differisca molto se l'attaccante ha il controllo del server di posta.

    
posta 18.09.2015 - 17:09
fonte

3 risposte

2

La mia comprensione della prima domanda è sì, è più sicuro usare una CA.

Per quanto riguarda la seconda domanda, l'utente malintenzionato dovrebbe creare una chiave con la stessa chiave pubblica della CA. Questo è difficile, e diventa più difficile con le dimensioni della tua CA. Fondamentalmente devi solo preoccuparti di un governo o di una multinazionale. L'unica differenza tra la CA privata e la CA di Verisign sta nel modo in cui la CA è stata generata in modo sicuro e amp; è archiviato (NON insignificante) e il fatto che Verisign stia pagando Firefox e altri per preinstallare la CA.

Il miglior tutorial introduttivo su SSL che ho trovato è disponibile da molti anni ed è ancora attuale: link

    
risposta data 18.09.2015 - 17:48
fonte
2

Immagino che questo dipenda dal fatto che tu voglia ricevere e-mail da altri server usando SMTP su TLS.

Un certificato emesso da una CA non affidabile viene trattato come un certificato autofirmato da altri server SMTP. A seconda della loro politica, possono abbandonare la connessione o decidere di trasmettere comunque le email.

Se vuoi solo proteggere la connessione tra i client di posta elettronica e il server, allora una CA personale va bene se hai installato correttamente il certificato CA ovunque.

    
risposta data 18.09.2015 - 18:38
fonte
0

Per uso personale, raccomando SSL annuali gratuiti da StartSSL

@ billc.cn puoi usare l'autofirmato per TLS, ma non i mutui-tls.

Aggiornamento, Startssl sembra che stiano avendo problemi, ho appena rinnovato il mio con link e mi sento sporco per questo, io ho generato la mia chiave privata quindi sono ancora al sicuro da questo aspetto.

Are WoSign S / MIME certificati generati sul lato server e quindi non sicuri da usare?

    
risposta data 18.09.2015 - 18:37
fonte

Leggi altre domande sui tag