Affidandosi a un CA fraudolento / non affidabile per STARTTLS / SMTP

0

Se utilizzi STARTTLS per SMTP, ci si dovrebbe fidare di CA che non sono considerate affidabili dai principali browser come ad esempio WoSign o StartCom?

Poiché STARTTLS torna al testo in chiaro, sembra che una trasmissione crittografata tramite un certificato non attendibile sarebbe comunque migliore di un semplice testo in chiaro?

    
posta architekt 06.03.2017 - 11:48
fonte

1 risposta

1

Dipende.

Fondamentalmente hai la possibilità di:

  • Richiede sempre un certificato valido. Ciò significa ovviamente che devi disabilitare il fallback in testo semplice e applicare l'uso di TLS. Ciò impedirà ad alcuni server e alle persone che li utilizzano di inviarti posta.

  • Se non puoi imporre l'utilizzo di TLS, non ha senso imporre un certificato valido. Una connessione crittografata con un certificato non valido è ancora meglio di nessuna crittografia.

Se si utilizza il secondo approccio, è opportuno applicare TLS per alcuni domini. Una cosa è consentire solo connessioni TLS per domini con DNSSEC / DANE dati. Per postfix questo può essere impostato con:

postconf -e "smtpd_use_tls = yes"
postconf -e "smtp_dns_support_level = dnssec"
postconf -e "smtp_tls_security_level = dane"

Puoi anche aggiungere alcuni domini che inviano regolarmente messaggi a un elenco e applicare TLS con certificati validi, se sai che lo supportano.

    
risposta data 06.03.2017 - 12:53
fonte

Leggi altre domande sui tag