Назад | Перейти на главную страницу

Используйте сертификат Let's Encrypt для почтового сервера

В настоящее время у меня есть бесплатный сертификат StartSSL для моего почтового сервера (postfix / dovecot). Конечно, работает нормально, но с сертификатами Let's Encrypt работать проще и быстрее. Мой сервер Apache также использует сертификат Let's Encrypt.

Итак, если я решу использовать сертификат Let's Encrypt для своего сервера, будет ли другой почтовый сервер отклонять мои электронные письма? Сколько сертификатов Let's Encrypt принято в мире почты?

Я знаю, что все современные браузеры принимают сертификаты Let's Encrypt. Итак, сертификаты Let's Encrypt подходят для Интернета. Если пользователь не работает с Windows XP и не использует обычный браузер того времени, Интернет будет отображаться правильно без диагностики браузера.

А как насчет почтового сервера? Есть ли у кого-нибудь опыт работы с сертификатами Let's Encrypt для почты? В частности, меня беспокоят не такие крупные компании, как Gmail, Yahoo или Hotmail, а другие частные серверы других компаний, которые, возможно, не принимают мой сертификат.

НОТА Меня также беспокоят старые почтовые клиенты, такие как Outlook 2007 (некоторые из моих клиентов их еще используют, и даже Outlook Express), и смартфоны (iPhone или Android).

НА-ТОПИЧНЫЙ ДОПОЛНИТЕЛЬНЫЙ ВОПРОС Делегирует ли продукты Microsoft управление сертификатами ОС или другим продуктам Microsoft? Потому что, если я хорошо помню, по крайней мере, в Outlook 2003 и / или 2007 управление сертификатами отвечало за браузер IE; и, если я хорошо помню, установка сертификата пользователя в браузере, таком как Firefox, эффективно установила сертификат также и в самой ОС (потому что я думаю, что он стал общесистемным). Итак, если я прав в этом, и даже если у моего клиента есть старый почтовый клиент, сертификат должен быть принят автоматически (предполагая, что у него точно современный веб-браузер, принимающий центры сертификации Let's Encrypt), потому что корневые центры сертификации из Chrome или Firefox доступен для всей системы.

Коротко: Должен ли я рискнуть перейти на Let's Encrypt для своего почтового сервера или лучше подождать еще как минимум год.

ИМХО: Да, LE готова к производству.

SMTP

Letsencrypt отлично подходит для обмена данными Mutual-TLS между почтовыми серверами. Многие серверы поддерживают оппортунистический TLS с самозаверяющими сертификатами, в редких случаях вы найдете MTA, для которого требуются либо общедоступные, либо защищенные DANE TLS-соединения.

Я использую сертификаты LE на всех своих серверах postfix, и checktls.com дает мне зеленый свет!

[000.100]       Connected to server
[000.405]   <-- 220 vegas.localdomain ESMTP Postfix
[000.405]       We are allowed to connect
[000.406]   --> EHLO checktls.com
[000.500]   <-- 250-vegas.localdomain
250-PIPELINING
250-SIZE 52428800
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.500]       We can use this server
[000.501]       TLS is an option on this server
[000.501]   --> STARTTLS
[000.595]   <-- 220 2.0.0 Ready to start TLS
[000.596]       STARTTLS command works on this server
[000.827]       SSLVersion in use: TLSv1.2
[000.827]       Cipher in use: ECDHE-RSA-AES128-SHA256
[000.828]       Connection converted to SSL
[000.855]       
Certificate 1 of 3 in chain:
subject= /CN=vegas.jacobdevans.com
issuer= /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3                                                  
[000.882]       
Certificate 2 of 3 in chain:
subject= /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3                                                    
[000.908]       
Certificate 3 of 3 in chain:
subject= /O=Digital Signature Trust Co./CN=DST Root CA X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3                                                      
[000.909]       Cert VALIDATED: ok
[000.909]       Cert Hostname VERIFIED (vegas.jacobdevans.com = vegas.jacobdevans.com)
[000.909]   ~~> EHLO checktls.com
[001.006]   <~~ 250-vegas.localdomain
250-PIPELINING
250-SIZE 52428800
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[001.007]       TLS successfully started on this server

POP / IMAP

Сертификаты Letsencrypt имеют перекрестную подпись, поэтому даже если ОС не поддерживает корень, она может уже доверять корневому сертификату с перекрестной подписью. В отличие от firefox, Outlook использует внутреннее CA Trust, которым вы можете управлять с помощью GPO и использовать любой CA, который вам нравится (например, CA с внутренней подписью).

https://letsencrypt.org/certificates/