В настоящее время я нахожусь в процессе обеспечения соответствия PCI, и у меня осталось 6 предупреждений. Я особенно борюсь с тем, что SSL-сертификат нельзя доверять IMAP (143 / TCP). Я использую Postfix / Courier-Imap на CentOS 6.5, и у меня уже установлен сертификат SSL на порт 993 (IMAPS).
У меня вопрос, как мне добавить, отредактировать или удалить SSL на порту 143?
Я думал, что порт 993 был IMAP + SSL, поэтому я не уверен, почему мой сканер жалуется на ненадежный SSL на порту 143.
Извините, если это не очень понятно.
Обновление: эта проблема также возникает на портах 587, 443, 110 и 25 (SSL-сертификату нельзя доверять), и приводится описание: «Сертификат X.509 сервера не имеет подписи известного общедоступного центра сертификации». Есть ли где-нибудь центральный сертификат, на который ссылаются эти предупреждения?
Предупреждение об IMAP / 143, вероятно, связано с тем, что ваш imapd поддерживает TLS, поэтому инструмент подключается к IMAP с открытым текстом, запрашивает эскалацию до TLS и жалуется на представленный сертификат.
Вы не говорите, какой у вас MTA, и я не эксперт по курьерскому IMAP, но с sendmail и dovecot они определенно не используют один и тот же сертификат по умолчанию. Даже на моем основном сервере, где все они используют один и тот же сертификат, они не все получают его из одного и того же файла, поскольку они хотят его в разных форматах: один хочет, чтобы открытый и закрытый ключи были вместе в файле PEM, другой хочет отдельный ключ и файлы сертификатов, но сертификат цепочки cat
связан с основным сертификатом, а другой хочет, чтобы связанный сертификат был в отдельном файле.
Мне кажется, что то же самое будет и с вами. Вам нужно будет посмотреть конфигурации courier и вашего MTA, и увидеть, где они ищут свои SSL-сертификаты - только тогда вы сможете сказать, есть ли у них смысл.