Postfix(Ubuntu 14.04)SSL证书不同 – 真的要担心什么?

前端之家收集整理的这篇文章主要介绍了Postfix(Ubuntu 14.04)SSL证书不同 – 真的要担心什么?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个运行Postfix的Ubuntu 14.04服务器 – 它通过外部主机(Mandrill)发送邮件.

我发送电子邮件没有问题 – 但(在禁用TLS之前 – 这似乎没有引起任何问题) – 在发送的每封电子邮件中我都会收到错误

postfix/postfix-script[4557]: warning:
/var/spool/postfix/etc/ssl/certs/ca-certificates.crt and
/etc/ssl/certs/ca-certificates.crt differ

由于禁用TLS,我在发送电子邮件时不再收到警告(而不是取消) – 但是在启动服务时(以及在预定的cron服务检查中)会看到它.

服务器托管多个域 – 但只发送一个域的电子邮件.

看起来很明显的解决方案是将证书文件复制到Postfix目录(希望提醒我除了.crt以外哪些文件需要移动!)?

或者这是一个我真的不需要担心的警告?

任何帮助非常感谢.

理查德.

出于几个原因,你真的不需要担心它.

>日志消息的最直接原因是Postfix的各个部分在/ var / spool / postfix下运行chroot,因此这些部分将在/var/spool/postfix/etc/ssl/certs/ca-certificates.crt中查找获取用于验证所提供证书的TLS信任锚列表.理论上,过时的ca-certificates.crt可能意味着Postfix的那些chrooted部分可能无法识别“有效”证书本身,或者不能不信任由自我委托的CA颁发的证书.在实践中,可信根的列表变化很少,因此不太可能成为问题.
>关于证书的可信赖性,SMTP-over-TLS与HTTPS不同.实际上,今天在Internet上运行的SMTP服务器都没有检查所提供的证书是否值得信任,因为许多证书无法通过验证 – 由于名称不匹配,过期或由不受信任的CA颁发(通常是自签名的,但并非总是如此) ).一般而言,SMTP操作符认为被动攻击者比主动攻击者更受关注,因此对不受信任的端点的加密优于不加密(如果受TLS保护的连接被拒绝,则会自动发生这种加密).

是的,显而易见的解决方案是将正在被抱怨的文件复制到chroot中.没有其他文件可以复制,因为它不是您正在复制的Postfix自己的密钥/证书对,它只是信任锚列表,它们都包含在一个文件中.

原文链接:https://www.f2er.com/ubuntu/347728.html

猜你在找的Ubuntu相关文章