Postfix (Ubuntu 14.04) SSL Certificates Differ – Qualsiasi cosa che ti preoccupassi veramente?

Ho un server Ubuntu 14.04 in esecuzione Postfix – che sta inviando la posta tramite un host esterno (Mandrill).

Non ho problemi a submit messaggi di posta elettronica, ma (prima di distriggersre TLS – che sembra non aver causato alcun problema), a each email inviata avrei ricevuto l'errore,

postfix / postfix-script [4557]: avviso: /var/spool/postfix/etc/ssl/certs/ca-certificates.crt e /etc/ssl/certs/ca-certificates.crt differiscono

Poiché distriggersndo TLS non ricevo più l'avviso quando invio un messaggio di posta elettronica (non supprendo), ma è visto durante l'avvio del servizio (e sui controlli di servizio cronici pianificati).

Il server ospita più domini – ma solo invia messaggi di posta elettronica da uno.

La soluzione ovvia sembra essere quella di copiare i file di certificati nella directory Postfix (amerebbe un ricordo su quali file diversi da .crt che devo spostare!)?

O è questo un avvertimento che non ho davvero bisogno di preoccuparmi?

Qualsiasi aiuto è molto apprezzato.

Richard.

  • Opscenter 4.1 - comunicazione agente ssl vs authentication interna
  • Come generare file .key e .crt dal file JKS per il server httpd apache
  • Passare le informazioni sul protocollo SSL per eseguire il backup tramite l'intestazione HTTP
  • È un certificato SSL autenticato un falso senso di sicurezza?
  • ssl_error_rx_record_too_long errore quando si accede a Webmin su Scientific Linux 6.2
  • Posso redirect un dominio apex di Network Solutions a www per connessioni SSL?
  • Come faccio a richiedere i certificati client con un nome utente / password specifico in Apache?
  • L'assistente di certificazione Root Enterprise di 2012 server di Windows rilascia certificati solo con validità di 2 anni
  • One Solution collect form web for “Postfix (Ubuntu 14.04) SSL Certificates Differ – Qualsiasi cosa che ti preoccupassi veramente?”

    Non devi veramente preoccuparti per questo, per diversi motivi.

    1. La causa prossima del messaggio di registro è che varie parti di Postfix vengono eseguite chroot sotto /var/spool/postfix e quindi le parti verranno visualizzate in /var/spool/postfix/etc/ssl/certs/ca-certificates.crt per get elenco degli ancoraggi di trust TLS utilizzati per validationre i certificati presentati. In teoria, un vecchio ca-certificates.crt potrebbe significare che quelle parti chrooted di Postfix potrebbero non riconoscere un certificato "valido" in quanto tale, o non fanno diffidenza di un certificato rilasciato da una CA che è stata detruttata. In pratica, l'elenco delle radici attendibili cambia così raramente che non è probabile che sia un problema.

    2. SMTP-over-TLS non è come HTTPS, per quanto riguarda la fiducia dei certificati. Praticamente nessun server SMTP in esecuzione su Internet oggi controlla che i certificati presentati siano affidabili, poiché tanti certificati non hanno validationto – a causa di non corrispondenze, scadenza o rilascio da parte di una CA non attendibile (di solito autografata, ma non sempre ). Gli operatori SMTP, in generale, sono del parere che gli attaccanti passivi siano più preoccupati degli aggressori attivi, per cui la crittografia a un endpoint non attendibile è migliore di non crittografare (ciò che accade automaticamente se la connessione TLS protetta è stata rifiutata).

    Sì, la soluzione ovvia è quella di copiare il file che si lamenta, nel chroot. Non ci sono altri file da copiare, perché non è la coppia di chiave di Postfix che stai copiando, è solo l'elenco degli ancoraggi di fiducia, che sono tutti contenuti in un unico file.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.