服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 使用让我们为邮件服务器encryption证书
Intereting Posts
如何检测Websphere服务器中是否安装了“WebSphere Web服务function包”? 多less内存的Web服务器? 在.bat中configurationgpupdate / force以启动客户端? 运行启动级别表面扫描最简单的方法是什么? Apache中神秘的GET请求 无法重新启动自动安装 什么是“-bash:!”:未find事件“ 思科NAT路由器可以和BVI共存吗? 如何删除这个孤立的Active Directory计算机对象(最好使用PowerShell)? 可以调整分区大小来破坏文件系统吗? 在CentOS上安装MySQL 设置生产服务器,应用程序运行的用户是什么? 如何自动调整subversion版本库文件权限以便使用w。 阿帕奇/ DAV? Exchange 2013横幅 可以跟踪Windows注销事件吗?

使用让我们为邮件服务器encryption证书

我目前有一个免费的我的邮件服务器(后缀/ dovecot)的StartSSL证书。 当然,它工作正常,但是让我们encryption证书更容易和更快的工作。 我的Apache服务器也使用Let's Encrypt证书。

所以,如果我决定为我的服务器使用Let's Encrypt证书,其他邮件服务器是否会拒绝我的电子邮件? 让我们在邮件世界中encryption证书?

我知道每个最近的网页浏览器都会接受让我们encryption证书。 所以,让我们encryption证书适用于networking。 除非用户使用Windows XP并在这些时间使用通用浏览器,否则Web浏览器将无法正常显示。

但是,邮件服务器呢? 有没有人有我们的encryption邮件的证书经验? 具体来说,我担心的不是像Gmail,雅虎或Hotmail这样的大公司,而是其他公司的私人服务器,可能不接受我的证书。

注意我还担心Outlook 2007(我的一些客户还在使用它们,甚至是Outlook Express)和智能手机(iPhone或Android)等旧邮件客户端。

另外的问题 Microsoft产品是否将证书pipe理委托给操作系统或其他Microsoft产品? 因为如果我还记得,至less在Outlook 2003和/或2007年,证书pipe理是负责IE浏览器的; 如果我还记得,在Firefox等浏览器上安装用户证书,也可以在操作系统本身上安装证书(因为我认为它已经成为全系统可用)。 所以,如果我是对的,即使我的客户有一个旧的邮件客户端,证书必须自动接受(猜测他确定现代Web浏览器接受让我们encryptionCA),因为来自Chrome的根CA或Firefox是全系统可用的。

总之:我是否应该冒险转移到让我们的邮件服务器encryption,或者更好的是等一年以上。

恕我直言:是的,LE已准备好生产。

SMTP

Letsencrypt非常适用于邮件服务器之间的互联TLS通信。 许多服务器支持具有自签名证书的机会TLS,在极less数情况下,您是否会find需要公开签名或DANE安全TLS连接的MTA。

我在所有的Postfix服务器上使用LE Certs, checktls.com给我所有的绿灯! CheckTLS结果 

[000.100] Connected to server [000.405] <-- 220 vegas.localdomain ESMTP Postfix [000.405] We are allowed to connect [000.406] --> EHLO checktls.com [000.500] <-- 250-vegas.localdomain 250-PIPELINING 250-SIZE 52428800 250-VRFY 250-ETRN 250-STARTTLS 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN [000.500] We can use this server [000.501] TLS is an option on this server [000.501] --> STARTTLS [000.595] <-- 220 2.0.0 Ready to start TLS [000.596] STARTTLS command works on this server [000.827] SSLVersion in use: TLSv1.2 [000.827] Cipher in use: ECDHE-RSA-AES128-SHA256 [000.828] Connection converted to SSL [000.855] Certificate 1 of 3 in chain: subject= /CN=vegas.jacobdevans.com issuer= /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 [000.882] Certificate 2 of 3 in chain: subject= /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3 [000.908] Certificate 3 of 3 in chain: subject= /O=Digital Signature Trust Co./CN=DST Root CA X3 issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3 [000.909] Cert VALIDATED: ok [000.909] Cert Hostname VERIFIED (vegas.jacobdevans.com = vegas.jacobdevans.com) [000.909] ~~> EHLO checktls.com [001.006] <~~ 250-vegas.localdomain 250-PIPELINING 250-SIZE 52428800 250-VRFY 250-ETRN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN [001.007] TLS successfully started on this server

POP / IMAP

Letsencrypt证书是交叉签名的,所以即使操作系统不支持root,也可能已经信任根交叉签名证书。 与firefox不同,Outlook使用内部CA信任,您可以使用GPO控制并使用您喜欢的任何CA(如内部签名的CA)

https://letsencrypt.org/certificates/