Postfix (Ubuntu 14.04) SSL Certificates Differ – Qualsiasi cosa che ti preoccupassi veramente?

Ho un server Ubuntu 14.04 in esecuzione Postfix – che sta inviando la posta tramite un host esterno (Mandrill).

Non ho problemi a submit messaggi di posta elettronica, ma (prima di distriggersre TLS – che sembra non aver causato alcun problema), a each email inviata avrei ricevuto l'errore,

  • Può utilizzare lo stesso certificato SSL jolly su diversi indirizzi IP e / o caselle?
  • Applicazione elegante di SSL in IIS 6.0
  • Configurazione di spamassassin su Fedora 21 con Postfix
  • Nuovo server imansible recuperare la configuration da Puppetmaster a causa di alcuni errori ssl
  • Recupero di una chiave RSA da un'istanza in esecuzione di Apache?
  • opendkim falliscono. | firma difettosa di RSA verifica non rioutput chiave non protetta
  • postfix / postfix-script [4557]: avviso: /var/spool/postfix/etc/ssl/certs/ca-certificates.crt e /etc/ssl/certs/ca-certificates.crt differiscono

    Poiché distriggersndo TLS non ricevo più l'avviso quando invio un messaggio di posta elettronica (non supprendo), ma è visto durante l'avvio del servizio (e sui controlli di servizio cronici pianificati).

    Il server ospita più domini – ma solo invia messaggi di posta elettronica da uno.

    La soluzione ovvia sembra essere quella di copiare i file di certificati nella directory Postfix (amerebbe un ricordo su quali file diversi da .crt che devo spostare!)?

    O è questo un avvertimento che non ho davvero bisogno di preoccuparmi?

    Qualsiasi aiuto è molto apprezzato.

    Richard.

    One Solution collect form web for “Postfix (Ubuntu 14.04) SSL Certificates Differ – Qualsiasi cosa che ti preoccupassi veramente?”

    Non devi veramente preoccuparti per questo, per diversi motivi.

    1. La causa prossima del messaggio di registro è che varie parti di Postfix vengono eseguite chroot sotto /var/spool/postfix e quindi le parti verranno visualizzate in /var/spool/postfix/etc/ssl/certs/ca-certificates.crt per get elenco degli ancoraggi di trust TLS utilizzati per validationre i certificati presentati. In teoria, un vecchio ca-certificates.crt potrebbe significare che quelle parti chrooted di Postfix potrebbero non riconoscere un certificato "valido" in quanto tale, o non fanno diffidenza di un certificato rilasciato da una CA che è stata detruttata. In pratica, l'elenco delle radici attendibili cambia così raramente che non è probabile che sia un problema.

    2. SMTP-over-TLS non è come HTTPS, per quanto riguarda la fiducia dei certificati. Praticamente nessun server SMTP in esecuzione su Internet oggi controlla che i certificati presentati siano affidabili, poiché tanti certificati non hanno validationto – a causa di non corrispondenze, scadenza o rilascio da parte di una CA non attendibile (di solito autografata, ma non sempre ). Gli operatori SMTP, in generale, sono del parere che gli attaccanti passivi siano più preoccupati degli aggressori attivi, per cui la crittografia a un endpoint non attendibile è migliore di non crittografare (ciò che accade automaticamente se la connessione TLS protetta è stata rifiutata).

    Sì, la soluzione ovvia è quella di copiare il file che si lamenta, nel chroot. Non ci sono altri file da copiare, perché non è la coppia di chiave di Postfix che stai copiando, è solo l'elenco degli ancoraggi di fiducia, che sono tutti contenuti in un unico file.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.