Dovecot、Thunderbird、および自己署名証明書を使用してUbuntuでIMAP / SSLをセットアップする


2

設定している新しいサーバーがあります。現在、対象者は非常に限られています(私だけです)が、IMAPSSLとセキュアSMTPをセットアップしようとしています。対象者が非常に限られているため、証明書を購入しないことにし、代わりに自己署名キーアーキテクチャを作成しています。

セットアップを行うためにhttps://help.ubuntu.com/community/OpenSSLの指示を使用しました。次に、サーバーのmail.savannidgerinel.comにキーをインストールしました。Thunderbirdに認証局を含めるように指示しました。次に、starttlsを使用してmail.savannidgerinel.com、imap(ポート143)に接続しようとすると、Thunderbirdが証明書に腹を立てます。それは言います...

You are about to override how Thunderbird identifies this site.  Legitimate banks <blah blah blah>
Server
Location: mail.savannidgerinel.com:143
Certificate Status
This site attempts to identify itself with invalid information.
*Wrong Site*
Certificate belongs to a different site, which could indicate an identity theft.

代わりにThunderbirdをポート993に接続すると、同じメッセージが表示されます(ただし、Locationフィールドがポート993を反映するように更新されます)。

だから...証明書を表示するように指示します。私がそれを言ったように、それは日として明確に、それは一般名(CN)がmail.savannidgerinel.comであると言います。タイプミス、名前の不一致、ポート番号が異なること以外は何も表示されません。

「openssl s_client」を使用して接続すると、接続は正常に行われますが、opensslは一部の証明書を検証できないことについて少し不平を言います(opensslがCAキーをどこから取得したかわからないことを前提としていますが、しかし、私もそれについてはわかりません)。

ここで何が間違っているのでしょうか?私は多くの検索を行ってきましたが、この問題がどこにもリストされていませんでした!それで、私はこれを診断し始める方法さえ完全に失われています。


これを修正しましたか?そうでない場合は、試みたopenssl s_clientコマンドのトレースを提供してください。
ychaouche

いいえ、7年前にこの質問をしました。そのシステムは長い間死んでいます。タイミングから、私はISPがSTMPストリームをインターセプトおよび書き換えて、STARTTLSがまったく発生しないようにすることを発見し始めた頃だと思います。
サバンニデリネル

ああ、いくつかのファイアウォールはそれをします。ESMTPパケットを検査し、一部のコマンドがファイアウォールで認識されない場合、XSに置き換えられ、すべてが壊れます。出典:cisco.com/c/en/us/support/docs/security/...
ychaouche

1
ええ、私たちもそれを追跡しました。彼らはそうすべきではありません。これは最終的に技術的なプレゼンテーションになり、最終的にはディープパケットインスペクションとそのインターネット上の害に関して議会に証言されました。私にとっては、ISPが私のプライバシーを攻撃しているように感じました。当時のほとんどの人は、電子メールが侵害されたことに気付かなかったことを知っています。
サバンニジェリネル

なんとエスカレーション!これはどこかにブログ投稿または記事に記載されていますか?あなたの物語を読みたいです。
ychaouche

回答:


0

たぶん、CA証明書ファイルを指定してopensslで接続を試みることができます:

openssl s_client -connect mail.savannidgerinel.com:993 -CAfile *(your CA certificate file*
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.