IKI:n sähköpostiserverit käyttävät mailien lähettämiseen ja vastaanottoon STARTTLS:ää mikäli toisen pään sähköpostivälitysohjelma sitä tukee. Koska sähköpostien välitysohjelmille ei ole samanlaista globaalia CA-infrastructuuria kuin mitä www-varmenteille on, niin IKI:n serverit käyttävät omalla CA-varmenteella allekirjoitettua varmennetta SMTP TLS yhteyksissä. SMTP serverit on yleensä konfiguroitu niin että vastapään varmennetta ei varmisteta mitenkään, joten se ei suojaa ollenkaan aktiivisilta hyökkääjiltä jotka onnistuvat pääsemään yhteyden väliin.
Mikäli haluat konfiguroida oman sähköpostiserverisi niin että se varmistaa että IKI:tä tulevat mailit todella tulevat IKI:ltä niin voit käyttää iki:n CA-avainta:
-----BEGIN X509 CERTIFICATE----- MIIDITCCAgmgAwIBAgICJxAwDQYJKoZIhvcNAQELBQAwQTELMAkGA1UEBhMCRkkx DDAKBgNVBAoTA0lLSTENMAsGA1UECxMETWFpbDEVMBMGA1UEAxMMTWFpbCAyMDE4 IENBMB4XDTE4MDEwMTAwMDAwMFoXDTI1MTIzMTIzNTk1OVowQTELMAkGA1UEBhMC RkkxDDAKBgNVBAoTA0lLSTENMAsGA1UECxMETWFpbDEVMBMGA1UEAxMMTWFpbCAy MDE4IENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4L6ObmlRVSUj DbrkeNax+ZgSf1iSG9NKPwSksj1kAwc59RwedsXt8gsXU4K5DbWyHzGeL0cNZNdm dXyANMnFRALMXR4c3sDOXg98CXoO1CO+7HFjKtpOh05DCippL1C1gsnDe/zBqByZ SX1MHJCgTSzU7PkGA5oaerkIwXESsolL8K6nMxiS1toe1Yky4sss8ZPNcgkMvBqQ xhmxbJesbV97iBAHO2aj/tVXtcaQThdgxgY7fx/J6yFPo2gLIJWoVJbFhnaW/LkZ AdMN5e2kKXkqbAo2hcyU+2laVT43XYsBVHpp7ZWJTwWnr73q5V6W97Cc47pNCopG yUehXXne7QIDAQABoyMwITALBgNVHQ8EBAMCAoQwEgYDVR0TAQH/BAgwBgEB/wIB ATANBgkqhkiG9w0BAQsFAAOCAQEAMOdf5ZNlih0cje4d9E9KJB5as9bDENIbQgzN eCgIuA+B9XuGmP1aL6blOqBdx1nvL2HuWfLoX6238CsljMAr5LwFDHDUtmTpt/qC BiTbNUd4cpAeDgdWwlDrl+DDyJq5kr4pLJU+eQrtJyQeRaNsFLRdiJC8RkTH9RSi dXnCExHyrl3iqoS3IiicDvnXCgkrrhYpdvZg/foWKYaH+KbP0f7ySnx5gTXcA14j 4Q0iOjngxtUsZxFXMsaR7R7La4vj489z84Uc90N/bvBF8uGs+zQ9de4R18TJ0Tup 4lj2KYUYerbh++X0Gcc0kLKDFbtCPjI/ixVgVuAW/eNnnQ8fSg== -----END X509 CERTIFICATE-----
Tässä sama avain vielä ”ymmärrettävässä” muodossa:
Certificate = SubjectName = <C=FI, O=IKI, OU=Mail, CN=Mail 2018 CA> IssuerName = <C=FI, O=IKI, OU=Mail, CN=Mail 2018 CA> SerialNumber= 10000 SignatureAlgorithm = rsa-pkcs1-sha256 Certificate seems to be self-signed. * Signature verification success. Validity = NotBefore = 2018 Jan 1st, 00:00:00 GMT NotAfter = 2025 Dec 31st, 23:59:59 GMT PublicKeyInfo = PublicKey = Algorithm name (SSH) : if-modn{sign{rsa-pkcs1-md5}} Modulus n (2048 bits) : 28371347161743193094518720617772706523426815530185116582353026105107716 38328331232006126457624143952749066696013032682718430134537350895869434 93499829813155909640592334780385864033711659456080585675862442239414451 48739774381764798385101053377246772178636113852251956818423399587105003 46979768285258246011518782479166165270843540329685329742506811988096774 69397301194042129546947948038321349876174256111883935016398036602630345 21707628652724468485584136206003808582929212311098300638786414520869230 77137368290687864666197291415520932275341194474437478929509853333558601 8744807512990328528219694975038319157691333336813 Exponent e ( 17 bits) : 65537 Extensions = Available = key usage, basic constraints(critical) KeyUsage = DigitalSignature KeyCertSign BasicConstraints = PathLength = 1 cA = true [CRITICAL] Public key SHA1 hash = 0d:eb:23:7d:d4:a5:0f:16:68:cb:19:fb:e3:9a:a5:f9:f8:df:3d:ea IKE Certificate hash = 38:8c:56:d9:cd:c1:3d:75:5c:22:c0:4b:dc:18:47:61:ce:03:99:57 Fingerprints = MD5 = 7f:59:52:5e:ca:74:44:5e:cd:a0:db:39:28:48:07:22 SHA-1 = 9b:bd:9b:70:78:28:f0:00:03:a8:b0:b0:5d:61:63:fa:c6:10:d8:61
Tällä hetkellä (joulukuu 2013) jokaisella mailikoneella on erillinen salainen avain ja nuo kaikki avaimet on allekirjoitettu tuolla CA avaimella (jonka varmenne tehtiin uudestaan tammikuussa 2018 käyttämään sha2:sta sha1:sen sijaan). Aikaisemmin käytettiin IKI CA avainta, mutta kun iki-ca kone on poissa käytöstä niin nuo sähköpostikoneiden alivarmenteet olivat vanhentuneet ja niiden päivittäminen ei onnistunut, niin siirryimme käyttämään erillistä CA:ta.