= Сообщение: 8077 из 10756 ===================================== RU.UNIX.BSD = От : Alex Korchmar 2:5020/400 02 Oct 18 21:27:49 Кому : Dmitry Dolzenko 02 Oct 18 21:27:49 Тема : Re: postfix + TLS FGHI : area://RU.UNIX.BSD?msgid=<1187510260@ddt.demos.su>+42940673 На : area://RU.UNIX.BSD?msgid=<1187510255@ddt.demos.su>+3c891bf9 = Кодировка сообщения определена как: IBM866 ================================= ============================================================================== From: Alex Korchmar <noreply@linux.e-moe.ru>
Dmitry Dolzenko <dol@mig.phys.msu.ru> wrote:
> > вполне можно и нужно использовать self-signed сертификаты с нормальным > > сроком валидности, а не автообновляемые раз в две недели. > А что за проблем с привязкой к CA, можно поподробней? повторяю для тугослышащих: нет CA, нет проблемы. В smtp нет требования "чтобы CA был тебе знаком, иначе вместо почты ты получаешь большое-красное-окно-полное-неведомой-ебанины с кнопками "срочно котиков" и "пожаловаться в гугль" (кнопки "продолжить" не предусмотрено)", как, трудами гугля и его шестерок, сделали с https.
> А с CA store сильно сложно связать? Hаверное порт с корневыми > сертификатами скачать, и указать в конфиге postfix? несильно, но бесполезно - как в общественно-политическом плане (кто сегодня верит в честность CA?) так и в чисто техническом - все кроме гугляндекса, которые могли бы и вообще не шифровать, все равно эта переписка слита неограниченному кругу лиц, преспокойно используют self-signed, а кто и не использует - никакого "sni" в smtp не предусмотрено, поэтому чей они там тебе сертификат покажут - аллаху ведомо.
смысл имеет только ограниченный набор фингерпринтов действительно доверенных сертификатов - например, с подконтрольных тебе же серверов.
ну и помнить, что email двадцать лет как позволяет end2end шифрование, совершенно не нуждающееся в серверной поддержке.
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)
