Uso de certificados autofirmados para su servidor de correo

Navega tus respuestas
1

He leído varias preguntas y respuestas sobre este tema desde aquí y otros sitios de SE. Todos mencionan que los certificados autofirmados no se recomiendan debido a los ataques MITM. Sin embargo, no he encontrado nada con la mención de crear su propia CA y emitir certificados para sus servidores.

Mi pregunta se expande sobre este tema, ya que quiero saber si crear su propia CA y emitir certificados para su servidor reduce la posibilidad de un ataque MITM. Mantendría la clave privada de CA localmente para evitar que alguien genere certificados adicionales. Al ser mi propia CA, puedo verificar en el certificado que soy yo quien lo generó y que el tráfico no está "falsificado". Copiaría la clave de publicación de CA en todos mis dispositivos para que el mensaje de advertencia ya no aparezca.

Aunque esto plantea otra pregunta, ¿puede el ataque crear su propia CA usando mi información ingresada y generar una clave SSL también para engañarme? ¿Cómo es diferente tener un certificado firmado en este punto?

Me parece que ser tu propia CA o utilizar una CA de confianza no difiere mucho si el atacante tiene el control del servidor de correo.

    
pregunta 18.09.2015 - 17:09
fuente

3 respuestas

2

Mi comprensión con respecto a la primera pregunta es sí, es más seguro usar una CA.

Con respecto a la segunda pregunta, el atacante tendría que crear una clave que tuviera la misma clave pública que su CA. Esto es difícil y se vuelve más difícil con el tamaño de su CA. Básicamente solo tienes que preocuparte por un gobierno o corporación multinacional. La única diferencia entre su CA privada y la CA de Verisign está en la seguridad con la que se generó la CA & se almacena (NO es insignificante) y el hecho de que Verisign le está pagando a Firefox y otros para preinstalar su CA.

El mejor tutorial de introducción sobre SSL que he encontrado ha estado disponible durante muchos años y sigue vigente: enlace

    
respondido por el nortally 18.09.2015 - 17:48
fuente
2

Supongo que esto depende de si desea recibir correos electrónicos de otros servidores mediante SMTP a través de TLS.

Un certificado emitido por una CA no confiable se trata igual que un certificado autofirmado por otros servidores SMTP. Dependiendo de su política, pueden interrumpir la conexión o decidir transmitir los correos electrónicos de todos modos.

Si solo desea asegurar la conexión entre los clientes de correo electrónico y el servidor, entonces una CA personal está bien si instaló correctamente el certificado de CA en todas partes.

    
respondido por el billc.cn 18.09.2015 - 18:38
fuente
0

Para uso personal, recomiendo SSL anuales gratuitos de StartSSL

@ billc.cn puedes usar Autofirmado para TLS, pero no mutuamente tls.

Actualización, parece que Startssl está teniendo problemas, acabo de renovar el mío con enlace y me siento sucio por ello. generé mi propia clave privada, así que todavía estoy a salvo de ese aspecto.

Are ¿Los certificados S / MIME de WoSign se generan en el servidor y, por lo tanto, no son seguros de usar?

    
respondido por el Jacob Evans 18.09.2015 - 18:37
fuente

Lea otras preguntas en las etiquetas

Sandbox para GNU / Linux lo suficientemente seguro como para ejecutar malware en él sin daño [cerrado] actualizaciones de seguridad para firmware incorporado Tomato (enrutador) [cerrado]