forum.lissyara.su

Господа, нашли тут такую весчь... я прям даже и не знаю...
короче:
стоит dovecot с поддержкой ssl на нестандартном порту...
все хорошо , все работает...
и тут узнается такая вещь:
если на нестандартный порт, на который настроен ssl, стукнуться на получение почты клиентом The bat с указанием работы по ssl, но без сертификата, то сертификат dovecot сам предлагает клиенту... т.е. выводиться предложение сделать данный сертификат доверенным и далее работа происходит по этому сертификату...о_0

т.е. просто сертификат раздается... всем кто конектиться... (да я понимаю, что данный сертификат нельзя экспортироать... но все же... как-то мне это не нравиться...)

кто-нидь в курсе, как сделать что бы сертификат запрашивался при подключении к этому порту, а к стандартному (110) не запрашивался , работа была бы без него..., а самостоятельно что бы dovecot сертификат не раздовал вообще никому и никогда...
(вообще я предполагал, что он именно так и работает... ан походу нет... )

это не есть проблема, есть же еще ключ
ни один больше почтовик без этого ключа таким сертификатом не подпишется

hizel писал(а):это не есть проблема, есть же еще ключ
ни один больше почтовик без этого ключа таким сертификатом не подпишется

чуть по подробнее...
в смысле ключ...
зачем это нужно и как от этого избавиться...
или где об этом почитать...

читаем про PKI
немного напряжения и приходит понимание
http://en.wikipedia.org/wiki/Public_key_infrastructure

спасибо, сажусь за разбор!!

PKI arrangements enable computer users without prior contact to be authenticated to each other, and to use the public key information in their public key certificates to encrypt messages to each other.

если я правильно понял, то это как раз и говорит, что можно шифровать трафик сертификатами , без предшествующего контакта... т.е. походу то, о чем я спрашиваю...
хорошо... это реально разрешено... и пожалуй неплохая возможность...
но я пока совершенно не могу понять как это контролировать...
т.е. как разрешить такое поведение и как запретить...
ибо пожалуй для dovecot-а я бы предпочел запретить это...

сейчас я использую сертификат X.509, он как раз принадлежит стандарту PKI...

можно предположить, что другого поведения от данного стандарта я не дождусь... (
вопрос, а dovecot с TLS работает только с сертификатами x.509 или можно использовать другой сертификат?!!!

или другой вариант шифрования трафика в нем...

и еще одно замечание, ведь всей этой канители с предоставлением сертификата при подключении к порту можно избежать ,установив опцию ssl_require_client_cert, но тут проблема, что надо всегда использовать ssl, а мне для локальной подсетки этого бы не хотелось...

может быть есть возможность указать что бы данная опция работала только на определенном порту... т.е на 110 не трабовать сертификата и работать, а на 1110 использовать ssl и принудительно требовать сертификат... и не выдавать его и не делать авторизацию, если сертификата нет у клиента... (

вроде просто, а почему-то пока работает не так...