В настоящее время у меня есть бесплатный сертификат StartSSL для моего почтового сервера (postfix / dovecot). Конечно, работает нормально, но с сертификатами Let's Encrypt работать проще и быстрее. Мой сервер Apache также использует сертификат Let's Encrypt.
Итак, если я решу использовать сертификат Let's Encrypt для своего сервера, будет ли другой почтовый сервер отклонять мои электронные письма? Сколько сертификатов Let's Encrypt принято в мире почты?
Я знаю, что все современные браузеры принимают сертификаты Let's Encrypt. Итак, сертификаты Let's Encrypt подходят для Интернета. Если пользователь не работает с Windows XP и не использует обычный браузер того времени, Интернет будет отображаться правильно без диагностики браузера.
А как насчет почтового сервера? Есть ли у кого-нибудь опыт работы с сертификатами Let's Encrypt для почты? В частности, меня беспокоят не такие крупные компании, как Gmail, Yahoo или Hotmail, а другие частные серверы других компаний, которые, возможно, не принимают мой сертификат.
НОТА Меня также беспокоят старые почтовые клиенты, такие как Outlook 2007 (некоторые из моих клиентов их еще используют, и даже Outlook Express), и смартфоны (iPhone или Android).
НА-ТОПИЧНЫЙ ДОПОЛНИТЕЛЬНЫЙ ВОПРОС Делегирует ли продукты Microsoft управление сертификатами ОС или другим продуктам Microsoft? Потому что, если я хорошо помню, по крайней мере, в Outlook 2003 и / или 2007 управление сертификатами отвечало за браузер IE; и, если я хорошо помню, установка сертификата пользователя в браузере, таком как Firefox, эффективно установила сертификат также и в самой ОС (потому что я думаю, что он стал общесистемным). Итак, если я прав в этом, и даже если у моего клиента есть старый почтовый клиент, сертификат должен быть принят автоматически (предполагая, что у него точно современный веб-браузер, принимающий центры сертификации Let's Encrypt), потому что корневые центры сертификации из Chrome или Firefox доступен для всей системы.
Коротко: Должен ли я рискнуть перейти на Let's Encrypt для своего почтового сервера или лучше подождать еще как минимум год.
ИМХО: Да, LE готова к производству.
SMTP
Letsencrypt отлично подходит для обмена данными Mutual-TLS между почтовыми серверами. Многие серверы поддерживают оппортунистический TLS с самозаверяющими сертификатами, в редких случаях вы найдете MTA, для которого требуются либо общедоступные, либо защищенные DANE TLS-соединения.
Я использую сертификаты LE на всех своих серверах postfix, и checktls.com дает мне зеленый свет!
[000.100] Connected to server
[000.405] <-- 220 vegas.localdomain ESMTP Postfix
[000.405] We are allowed to connect
[000.406] --> EHLO checktls.com
[000.500] <-- 250-vegas.localdomain
250-PIPELINING
250-SIZE 52428800
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.500] We can use this server
[000.501] TLS is an option on this server
[000.501] --> STARTTLS
[000.595] <-- 220 2.0.0 Ready to start TLS
[000.596] STARTTLS command works on this server
[000.827] SSLVersion in use: TLSv1.2
[000.827] Cipher in use: ECDHE-RSA-AES128-SHA256
[000.828] Connection converted to SSL
[000.855]
Certificate 1 of 3 in chain:
subject= /CN=vegas.jacobdevans.com
issuer= /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
[000.882]
Certificate 2 of 3 in chain:
subject= /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
[000.908]
Certificate 3 of 3 in chain:
subject= /O=Digital Signature Trust Co./CN=DST Root CA X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3
[000.909] Cert VALIDATED: ok
[000.909] Cert Hostname VERIFIED (vegas.jacobdevans.com = vegas.jacobdevans.com)
[000.909] ~~> EHLO checktls.com
[001.006] <~~ 250-vegas.localdomain
250-PIPELINING
250-SIZE 52428800
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[001.007] TLS successfully started on this server
POP / IMAP
Сертификаты Letsencrypt имеют перекрестную подпись, поэтому даже если ОС не поддерживает корень, она может уже доверять корневому сертификату с перекрестной подписью. В отличие от firefox, Outlook использует внутреннее CA Trust, которым вы можете управлять с помощью GPO и использовать любой CA, который вам нравится (например, CA с внутренней подписью).