Sähköpostiserverien käyttämistä varmenteista

IKI:n sähköpostiserverit käyttävät mailien lähettämiseen ja vastaanottoon STARTTLS:ää mikäli toisen pään sähköpostivälitysohjelma sitä tukee. Koska sähköpostien välitysohjelmille ei ole samanlaista globaalia CA-infrastructuuria kuin mitä www-varmenteille on, niin IKI:n serverit käyttävät omalla CA-varmenteella allekirjoitettua varmennetta SMTP TLS yhteyksissä. SMTP serverit on yleensä konfiguroitu niin että vastapään varmennetta ei varmisteta mitenkään, joten se ei suojaa ollenkaan aktiivisilta hyökkääjiltä jotka onnistuvat pääsemään yhteyden väliin.

Mikäli haluat konfiguroida oman sähköpostiserverisi niin että se varmistaa että IKI:tä tulevat mailit todella tulevat IKI:ltä niin voit käyttää iki:n CA-avainta:

-----BEGIN X509 CERTIFICATE-----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-----END X509 CERTIFICATE-----

Tässä sama avain vielä ”ymmärrettävässä” muodossa:

Certificate = 
  SubjectName = <C=FI, O=IKI, OU=Mail, CN=Mail 2018 CA>
  IssuerName = <C=FI, O=IKI, OU=Mail, CN=Mail 2018 CA>
  SerialNumber= 10000
  SignatureAlgorithm = rsa-pkcs1-sha256
  Certificate seems to be self-signed.
      * Signature verification success.
  Validity = 
    NotBefore = 2018 Jan  1st, 00:00:00 GMT
    NotAfter  = 2025 Dec 31st, 23:59:59 GMT
  PublicKeyInfo = 
    PublicKey =
      Algorithm name (SSH) : if-modn{sign{rsa-pkcs1-md5}}
      Modulus n  (2048 bits) :
        28371347161743193094518720617772706523426815530185116582353026105107716
        38328331232006126457624143952749066696013032682718430134537350895869434
        93499829813155909640592334780385864033711659456080585675862442239414451
        48739774381764798385101053377246772178636113852251956818423399587105003
        46979768285258246011518782479166165270843540329685329742506811988096774
        69397301194042129546947948038321349876174256111883935016398036602630345
        21707628652724468485584136206003808582929212311098300638786414520869230
        77137368290687864666197291415520932275341194474437478929509853333558601
        8744807512990328528219694975038319157691333336813
      Exponent e (  17 bits) :
        65537
  Extensions = 
    Available = key usage, basic constraints(critical)
    KeyUsage = DigitalSignature KeyCertSign 
    BasicConstraints = 
      PathLength = 1
      cA         = true
        [CRITICAL]
  Public key SHA1 hash = 
    0d:eb:23:7d:d4:a5:0f:16:68:cb:19:fb:e3:9a:a5:f9:f8:df:3d:ea
  IKE Certificate hash = 
    38:8c:56:d9:cd:c1:3d:75:5c:22:c0:4b:dc:18:47:61:ce:03:99:57
  Fingerprints = 
    MD5 = 7f:59:52:5e:ca:74:44:5e:cd:a0:db:39:28:48:07:22
    SHA-1 = 9b:bd:9b:70:78:28:f0:00:03:a8:b0:b0:5d:61:63:fa:c6:10:d8:61

Tällä hetkellä (joulukuu 2013) jokaisella mailikoneella on erillinen salainen avain ja nuo kaikki avaimet on allekirjoitettu tuolla CA avaimella (jonka varmenne tehtiin uudestaan tammikuussa 2018 käyttämään sha2:sta sha1:sen sijaan). Aikaisemmin käytettiin IKI CA avainta, mutta kun iki-ca kone on poissa käytöstä niin nuo sähköpostikoneiden alivarmenteet olivat vanhentuneet ja niiden päivittäminen ei onnistunut, niin siirryimme käyttämään erillistä CA:ta.