Vlákno názorů k článku Gmail označuje nešifrovanou poštu. Jak to opravit? od TKL - Netroufám si odhadnout, zda je mailserverů s kvalifikovaným...
-
TKL (neregistrovaný)
Netroufám si odhadnout, zda je mailserverů s kvalifikovaným certifikátem poskrovnu nebo ne, ale třeba můj mezi ně už docela dlouho patří. A i přesto, že jsem postfixu nikdy žádná speciální pravidla pro servery druhých stran nenastavoval, nepamatuji si, že by s TLS šifrováním nastal někdy nějaký problém. Jediné, co jsem před nedávnem udělal bylo, že jsem přidal DKIM a SPF, aby byla komunikace o kousek důvěryhodnější.
-
Ondřej CaletkaZlatý podporovatelA máte taky na doméně DNSSEC? Protože bez něj vám je kvalifikovaný certifikát úplně k ničemu – útočník jednoduše pozmění cíl MX záznamu na svůj server ve svojí doméně, pro kterou bude mít taky kvalifikovaný certifikát.
Z podobného důvodu je vám k ničemu kvalifikovaný certifikát i v případě, že DNSSEC máte, protože stejně si nikdo na Internetu nemůže dovolit doručovat jen serverům s kvalifikovaným certifikátem. Jediné, co opravdu funguje, jsou TLSA záznamy s otiskem klíče serveru, takže na certifikátu pak vlastně nezáleží.
Jinak také poštu doručujeme s oportunistickým šifrováním všem a nikdy s tím nebyl žádný problém. Tedy rozhodně bych doporučoval spíše oportunistické šifrování s opt-out přístupem, než opt-in pouze pro gmail.
-
blergh (neregistrovaný)
Nechci se mylit, ale obavam se, ze to nebude kvalifikovany certifikat podle zakona.
Kvalifikovane certifikaty nejsou urcene pro sifrovani, ale pouze pro podpis a to jeste zejmena pro konkretni osoby (i kdyz uz se vydava i kvalifikovany certifikat pro automaticke zpracovani, ale stale je to neco jineho nez certifikat, na jehoz zaklade je mozne sifrovat).
Vizte: http://www.postsignum.cz/kvalifikovane_certifikaty.html -
blergh (neregistrovaný)
Tak urcite by stacil k sifrovani i podpisu verejny klic z certifikatu a k nemu prislusici klic privatni. Takze technicky to problem neni.
Nicmene pokud budeme chtit pouzivat certifikat (tedy v tomto pripade kvalifikovany dle zakona) - se vsemi daty, ktera obsahuje, pak - protoze je urcen pro osobni pouziti, v CN bude obsahovat jmeno cloveka, nikoliv stroje (to je vylozene v certifikacnich politikach akreditovanych CA). Z toho potom vyplyva to, ze pro pouziti postfixem neni vhodny.
Ale spis bych odhadoval, ze kolega myslel na normalni komercni certifikat.
A samozrejme certifikat s prislusnym privatnim klicem, ktery je urcen k podpisu, je mozne pouzit i pro sifrovani. Ale z dobrych duvodu ma kazdy certifikat deklarovan svuj ucel, pro ktery je vydan a v nekterych pripadech je nevhodne ho pouzivat pro sifrovani, i kdyz to technicky jde.
