Tämä on vanha versio dokumentista!
IKI:n sähköpostiserverit käyttävät mailien lähettämiseen ja vastaanottoon STARTTLS:ää mikäli toisen pään sähköpostivälitysohjelma sitä tukee. Koska sähköpostien välitysohjelmille ei ole samanlaista globaalia CA-infrastructuuria kuin mitä www-varmenteille on, niin IKI:n serverit käyttävät omalla CA-varmenteella allekirjoitettua varmennetta SMTP TLS yhteyksissä. SMTP serverit on yleensä konfiguroitu niin että vastapään varmennetta ei varmisteta mitenkään, joten se ei suojaa ollenkaan aktiivisilta hyökkääjiltä jotka onnistuvat pääsemään yhteyden väliin.
Mikäli haluat konfiguroida oman sähköpostiserverisi niin että se varmistaa että IKI:tä tulevat mailit todella tulevat IKI:ltä niin voit käyttää iki:n CA-avainta:
-----BEGIN X509 CERTIFICATE----- MIIDIDCCAgigAwIBAgIBADANBgkqhkiG9w0BAQUFADBBMQswCQYDVQQGEwJGSTEM MAoGA1UEChMDSUtJMQ0wCwYDVQQLEwRNYWlsMRUwEwYDVQQDEwxNYWlsIDIwMTMg Q0EwHhcNMTMwMTAxMDAwMDAwWhcNMjAxMjMxMjM1OTU5WjBBMQswCQYDVQQGEwJG STEMMAoGA1UEChMDSUtJMQ0wCwYDVQQLEwRNYWlsMRUwEwYDVQQDEwxNYWlsIDIw MTMgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDgvo5uaVFVJSMN uuR41rH5mBJ/WJIb00o/BKSyPWQDBzn1HB52xe3yCxdTgrkNtbIfMZ4vRw1k12Z1 fIA0ycVEAsxdHhzewM5eD3wJeg7UI77scWMq2k6HTkMKKmkvULWCycN7/MGoHJlJ fUwckKBNLNTs+QYDmhp6uQjBcRKyiUvwrqczGJLW2h7ViTLiyyzxk81yCQy8GpDG GbFsl6xtX3uIEAc7ZqP+1Ve1xpBOF2DGBjt/H8nrIU+jaAsglahUlsWGdpb8uRkB 0w3l7aQpeSpsCjaFzJT7aVpVPjddiwFUemntlYlPBaevverlXpb3sJzjuk0KikbJ R6Fded7tAgMBAAGjIzAhMAsGA1UdDwQEAwIChDASBgNVHRMBAf8ECDAGAQH/AgEB MA0GCSqGSIb3DQEBBQUAA4IBAQBpsv6XV4EWDYN6g8lk8ywN6ndsuXKdCubvFTDK tuJ36A9lezT4mUltHEzYtUdq3gzr0dRy7hp5f/cD0fa8NTF3Vv2/WJFEmy8cq2kE iGF2RTY+0CLsuv3kWJKiqHN5g35gkvFoVi5VUOvW2c6KD+kwRMXr6+M+gzsEg60O D8dba/5QL8ELRRzf5PpB/IIk4icdHNGmLZTDm+NmoDRtMmr4ufvVo9I/zvpK7lNl ZCay54GENlM/VSsqeGF2sFPdzhwOSglaQl55os/LIDCITfFezOr3pPBXUyqI7ror TcojFg6rpB8G8JGaYr6vIDG+bMXifW51TImTWZ/6/Mx2uFdN -----END X509 CERTIFICATE-----
Tässä sama avain vielä ”ymmärrettävässä” muodossa:
Certificate = SubjectName = <C=FI, O=IKI, OU=Mail, CN=Mail 2013 CA> IssuerName = <C=FI, O=IKI, OU=Mail, CN=Mail 2013 CA> SerialNumber= 0 SignatureAlgorithm = rsa-pkcs1-sha1 Certificate seems to be self-signed. * Signature verification success. Validity = NotBefore = 2013 Jan 1st, 00:00:00 GMT NotAfter = 2020 Dec 31st, 23:59:59 GMT PublicKeyInfo = PublicKey = Algorithm name (SSH) : if-modn{sign{rsa-pkcs1-md5}} Modulus n (2048 bits) : 28371347161743193094518720617772706523426815530185116582353026105107716 38328331232006126457624143952749066696013032682718430134537350895869434 93499829813155909640592334780385864033711659456080585675862442239414451 48739774381764798385101053377246772178636113852251956818423399587105003 46979768285258246011518782479166165270843540329685329742506811988096774 69397301194042129546947948038321349876174256111883935016398036602630345 21707628652724468485584136206003808582929212311098300638786414520869230 77137368290687864666197291415520932275341194474437478929509853333558601 8744807512990328528219694975038319157691333336813 Exponent e ( 17 bits) : 65537 Extensions = Available = key usage, basic constraints(critical) KeyUsage = DigitalSignature KeyCertSign BasicConstraints = PathLength = 1 cA = TRUE [CRITICAL] Public key SHA1 hash = 0d:eb:23:7d:d4:a5:0f:16:68:cb:19:fb:e3:9a:a5:f9:f8:df:3d:ea IKE Certificate hash = 38:8c:56:d9:cd:c1:3d:75:5c:22:c0:4b:dc:18:47:61:ce:03:99:57 Fingerprints = MD5 = 1d:7d:1b:82:9a:9e:1b:29:4f:9c:d6:67:68:54:84:19 SHA-1 = 44:2e:bd:31:df:05:cc:33:6f:c0:08:45:41:fa:82:97:fd:52:04:61
Tällä hetkellä (joulukuu 2013) jokaisella mailikoneella on erillinen salainen avain ja nuo kaikki avaimet on allekirjoitettu tuolla CA avaimella. Aikaisemmin käytettiin IKI CA avainta, mutta kun iki-ca kone on poissa käytöstä niin nuo sähköpostikoneiden alivarmenteet olivat vanhentuneet ja niiden päivittäminen ei onnistunut, niin siirryimme käyttämään erillistä CA:ta.