Käyttäjän työkalut

Sivuston työkalut


faq:saehkoepostinvarmenteet

Erot

Tämä näyttää erot valitun ja nykyisen version kesken tästä sivusta.

Linkki vertailunäkymään

Both sides previous revision Edellinen revisio
Seuraava revisio
Edellinen revisio
faq:saehkoepostinvarmenteet [2018-09-27 12:27]
kivinen
faq:saehkoepostinvarmenteet [2018-09-27 12:30] (nykyinen)
kivinen
Rivi 1: Rivi 1:
 +====== Sähköpostiserverien käyttämistä varmenteista ======
 +
 +IKI:n sähköpostiserverit käyttävät mailien lähettämiseen ja vastaanottoon STARTTLS:​ää mikäli toisen pään sähköpostivälitysohjelma sitä tukee. Koska sähköpostien välitysohjelmille ei ole samanlaista globaalia CA-infrastructuuria kuin mitä www-varmenteille on, niin IKI:n serverit käyttävät omalla CA-varmenteella allekirjoitettua varmennetta SMTP TLS yhteyksissä. SMTP serverit on yleensä konfiguroitu niin että vastapään varmennetta ei varmisteta mitenkään,​ joten se ei suojaa ollenkaan aktiivisilta hyökkääjiltä jotka onnistuvat pääsemään yhteyden väliin. ​
 +
 +Mikäli haluat konfiguroida oman sähköpostiserverisi niin että se varmistaa että IKI:tä tulevat mailit todella tulevat IKI:ltä niin voit käyttää iki:n CA-avainta:
 +
 +<​code>​
 +-----BEGIN X509 CERTIFICATE-----
 +MIIDITCCAgmgAwIBAgICJxAwDQYJKoZIhvcNAQELBQAwQTELMAkGA1UEBhMCRkkx
 +DDAKBgNVBAoTA0lLSTENMAsGA1UECxMETWFpbDEVMBMGA1UEAxMMTWFpbCAyMDE4
 +IENBMB4XDTE4MDEwMTAwMDAwMFoXDTI1MTIzMTIzNTk1OVowQTELMAkGA1UEBhMC
 +RkkxDDAKBgNVBAoTA0lLSTENMAsGA1UECxMETWFpbDEVMBMGA1UEAxMMTWFpbCAy
 +MDE4IENBMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA4L6ObmlRVSUj
 +DbrkeNax+ZgSf1iSG9NKPwSksj1kAwc59RwedsXt8gsXU4K5DbWyHzGeL0cNZNdm
 +dXyANMnFRALMXR4c3sDOXg98CXoO1CO+7HFjKtpOh05DCippL1C1gsnDe/​zBqByZ
 +SX1MHJCgTSzU7PkGA5oaerkIwXESsolL8K6nMxiS1toe1Yky4sss8ZPNcgkMvBqQ
 +xhmxbJesbV97iBAHO2aj/​tVXtcaQThdgxgY7fx/​J6yFPo2gLIJWoVJbFhnaW/​LkZ
 +AdMN5e2kKXkqbAo2hcyU+2laVT43XYsBVHpp7ZWJTwWnr73q5V6W97Cc47pNCopG
 +yUehXXne7QIDAQABoyMwITALBgNVHQ8EBAMCAoQwEgYDVR0TAQH/​BAgwBgEB/​wIB
 +ATANBgkqhkiG9w0BAQsFAAOCAQEAMOdf5ZNlih0cje4d9E9KJB5as9bDENIbQgzN
 +eCgIuA+B9XuGmP1aL6blOqBdx1nvL2HuWfLoX6238CsljMAr5LwFDHDUtmTpt/​qC
 +BiTbNUd4cpAeDgdWwlDrl+DDyJq5kr4pLJU+eQrtJyQeRaNsFLRdiJC8RkTH9RSi
 +dXnCExHyrl3iqoS3IiicDvnXCgkrrhYpdvZg/​foWKYaH+KbP0f7ySnx5gTXcA14j
 +4Q0iOjngxtUsZxFXMsaR7R7La4vj489z84Uc90N/​bvBF8uGs+zQ9de4R18TJ0Tup
 +4lj2KYUYerbh++X0Gcc0kLKDFbtCPjI/​ixVgVuAW/​eNnnQ8fSg==
 +-----END X509 CERTIFICATE-----
 +</​code>​
 +
 +Tässä sama avain vielä "​ymmärrettävässä"​ muodossa:
 +
 +<​code>​
 +Certificate = 
 +  SubjectName = <C=FI, O=IKI, OU=Mail, CN=Mail 2018 CA>
 +  IssuerName = <C=FI, O=IKI, OU=Mail, CN=Mail 2018 CA>
 +  SerialNumber= 10000
 +  SignatureAlgorithm = rsa-pkcs1-sha256
 +  Certificate seems to be self-signed.
 +      * Signature verification success.
 +  Validity = 
 +    NotBefore = 2018 Jan  1st, 00:00:00 GMT
 +    NotAfter ​ = 2025 Dec 31st, 23:59:59 GMT
 +  PublicKeyInfo = 
 +    PublicKey =
 +      Algorithm name (SSH) : if-modn{sign{rsa-pkcs1-md5}}
 +      Modulus n  (2048 bits) :
 +        28371347161743193094518720617772706523426815530185116582353026105107716
 +        38328331232006126457624143952749066696013032682718430134537350895869434
 +        93499829813155909640592334780385864033711659456080585675862442239414451
 +        48739774381764798385101053377246772178636113852251956818423399587105003
 +        46979768285258246011518782479166165270843540329685329742506811988096774
 +        69397301194042129546947948038321349876174256111883935016398036602630345
 +        21707628652724468485584136206003808582929212311098300638786414520869230
 +        77137368290687864666197291415520932275341194474437478929509853333558601
 +        8744807512990328528219694975038319157691333336813
 +      Exponent e (  17 bits) :
 +        65537
 +  Extensions = 
 +    Available = key usage, basic constraints(critical)
 +    KeyUsage = DigitalSignature KeyCertSign ​
 +    BasicConstraints = 
 +      PathLength = 1
 +      cA         = true
 +        [CRITICAL]
 +  Public key SHA1 hash = 
 +    0d:​eb:​23:​7d:​d4:​a5:​0f:​16:​68:​cb:​19:​fb:​e3:​9a:​a5:​f9:​f8:​df:​3d:​ea
 +  IKE Certificate hash = 
 +    38:​8c:​56:​d9:​cd:​c1:​3d:​75:​5c:​22:​c0:​4b:​dc:​18:​47:​61:​ce:​03:​99:​57
 +  Fingerprints = 
 +    MD5 = 7f:​59:​52:​5e:​ca:​74:​44:​5e:​cd:​a0:​db:​39:​28:​48:​07:​22
 +    SHA-1 = 9b:​bd:​9b:​70:​78:​28:​f0:​00:​03:​a8:​b0:​b0:​5d:​61:​63:​fa:​c6:​10:​d8:​61
 +</​code>​
 +
 +Tällä hetkellä (joulukuu 2013) jokaisella mailikoneella on erillinen salainen avain ja nuo kaikki avaimet on allekirjoitettu tuolla CA avaimella (jonka varmenne tehtiin uudestaan tammikuussa 2018 käyttämään sha2:sta sha1:sen sijaan). Aikaisemmin käytettiin IKI CA avainta, mutta kun iki-ca kone on poissa käytöstä niin nuo sähköpostikoneiden alivarmenteet olivat vanhentuneet ja niiden päivittäminen ei onnistunut, niin siirryimme käyttämään erillistä CA:ta.