Ненадежные сертификаты SSL на CentOS VPS
В настоящее время я нахожусь в процессе соответствия PCI, и у меня осталось 6 предупреждений. Одна из них, с которой я особенно борюсь, - это "Сертификат SSL нельзя доверять IMAP (143/TCP)". Я использую Postfix/Courier-Imap в CentOS 6.5, и у меня уже установлен сертификат SSL на порт 993 (IMAPS).
У меня вопрос, как мне добавить, изменить или удалить SSL на порт 143?
Я думал, что порт 993 - это IMAP + SSL, поэтому я не уверен, почему мой сканер жалуется на ненадежный SSL на порту 143.
Извините, если это не очень понятно.
Обновление: эта проблема также возникает на портах 587, 443, 110 и 25 (сертификат SSL не может быть доверенным), и приведено описание "Серверный сертификат X.509 не имеет подписи от известного общедоступного центра сертификации". Есть ли где-нибудь центральный сертификат, на который ссылаются эти предупреждения?
1 ответ
Предупреждение о IMAP/143, вероятно, связано с тем, что ваш imapd поддерживает TLS, поэтому инструмент подключается к незашифрованному текстовому протоколу IMAP, запрашивает эскалацию до TLS и жалуется на представленный сертификат.
Вы не говорите, какой у вас MTA, и я не эксперт по IMAP курьера, но с sendmail и dovecot они по умолчанию не используют один и тот же сертификат. Даже на моем главном сервере, где все они используют один и тот же сертификат, они не все получают его из одного и того же файла, как они хотят, в разных форматах: один хочет, чтобы открытый и закрытый ключи были вместе в файле PEM, другой хочет отдельный ключ. и файлы сертификатов, но сертификат цепочки catсвязан с основным сертификатом, а другой хочет, чтобы сертификат цепочки был в отдельном файле.
Мне кажется, что то же самое будет и для вас. Вам нужно будет посмотреть конфигурации курьера и вашего MTA и посмотреть, где они ищут свои SSL-сертификаты - только тогда вы сможете сказать, есть ли у них точка.