我有一个邮件服务器,有一个自签名的SSL证书。
我使用Thunderbird来访问这个服务器,并要求我接受这个证书。
所以可以说我接受这个在一个半安全的位置,例如在本地networking。 然后转到不安全的networking,并在Thunderbird电子邮件客户端中接受我的证书。
Thunderbird设置为使用STARTTLS到电子邮件服务器。
是否这个证书一旦被接受,就不可能在中间进攻中做一个人。 对于有人使用这个公开的自签名SSL证书,他们还需要一个邮件服务器保存的私钥?
如果雷鸟有一天突然要我接受来自邮件服务器的新证书,红旗是。
如果您控制域名,您应该强烈考虑获得免费的SSL证书。 有几个提供免费的证书。
Thunderbird中的“接受”证书将您用服务器引用的主机名与证书的指纹进行配对。 因此,如果不解决DL问题,MITM攻击几乎是不可能的。 这假定你select了一个合理的位长度(2048或4096这些天;虽然参数可以为1024)。
如果您同时拥有私钥和公钥,PKI密钥只会有用。 是的,应始终对有关证书错误的新警告进行全面的审查。
是否这个证书一旦被接受,就不可能在中间进攻中做一个人。 对于有人使用这个公开的自签名SSL证书,他们还需要一个邮件服务器保存的私钥?
那是对的。 攻击者不能伪造远程服务器,除非他们拥有与客户端使用的私钥相匹配的私钥。
剩下的问题包括暴力破解证书(基本上不会发生),从服务器窃取私钥,或利用软件漏洞(这可能会影响与真实证书完全相同的证书)。
为了validation已知的证书,当您接受证书时,您自信的自签证书与其他证书一样好。 PKI /签名链使分发和撤销更为简单,但对于维护密钥的身份validation并不重要。 他们只是帮助简单和追踪。 这在公众和大公司都很重要。 如果您只是在谈论您的私人邮件服务器,那么我会对自签名证书做同样的事情。
如果您信任导入到Thunderbird的原始证书,则将用于与证书中的CN匹配的服务器的所有后续连接。
由于自签名证书不与公共CA签发的任何内容重叠,所以有两种情况会从(可能被盗用或伪造的)服务器请求新的证书:
第二种情况可能会比您想象的更早发生:如果您使用的是dynamicIP,并以某种方式连接到IP而不是主机名,则不会匹配。