Re: lug-bg: STARTTLS vupros
- Subject: Re: lug-bg: STARTTLS vupros
- From: vlk@email.domain.hidden (Vesselin Kolev)
- Date: Wed, 2 Apr 2003 10:12:54 +0300
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Samo edno utochnenie,
Po princip v ca-bundle.crt se postaviat i samopodpisanite
certificati na drugi mashini, s koito shte si komunikirash, ako i
te sa samopodpisani.
Po princip obache e nai-dobre da si syzdadesh svoia CA
za tvoite mail hubove i clientite ti i da napravish taka, che
clientite ti da mogat da relayvat prez tvoite mail hubove kydeto
i da se namirat po sveta. Ideilologiata e prosta. Pravish si CA
kakto e opisano v
http://www.lcpe.uni-sofia.bg/linuxdoc/CA
razdavash PKCS#12 certificatite na clientite si, te gi vgrazhdat v svoite
mail clienti: KMail, Mozilla Mail, Netscape Mail i ne znam si oshte kakvi
(mozhe i v Outlook Express) i chrez tiah relayvat na nivo
authentikacia prez proizvolen host v internet (t.e.ne nuzhno v
access_db da pravish poimenni ili poadresni opisania). Za
poveche informacia procheti:
http://www.lcpe.uni-sofia.bg/linuxdoc/sendmail/tls-relay.html
Samo kato dopylnitelna extra.. s tezi certificati tvoite clienti mozhe
da imat dostyp ne samo do mail-huba, te mozhe da gi zashtitavat
pri iztegliane na poshtata im chrez POP3(SSL) ili IMAP(SSL)
razshireni protokoli. Taka predotvratiavash "man-in-the-middle".
Mozhesh i na bazata na certificates da
izgradish i niva na dostyp kym informaciata v web-server. T.e.
s PKCS#12 mozhesh da si napravish sistemata dostatychno
sigurna i mozhesh da sledish dostypa s po-goliama tochnost,
pak na bazata na certificate. Zashtoto niakoi mozhe da napravi
lesno IP spoofing... no da generira syshtia certificate kato na
clienta ti e tvyrde malko veroiatno (da ne kazha neveroiatno). Taka
ako ima narushenie, ti mozhesh vednaga da kazhesh s goliama
veroiatnost koi e proiavil svoevolie (naprimer prashtal e chrez
RELAY politikata prez tvoia server spam i e imal glupostta da se
udostoveri sys certificate). Ako napravish RELAY politikata samo
na osnova certificate, pyrvo clientite ti shte sa dovolni, che
polzvat kodirani kanali za prenos na poshta, vtoro niama da im
stiska da probutvat spam prez teb, zashtoto mnogo lesno shte
gi hvanesh. A iztriesh li im meta-infoto za certificate-a v access_db,
shte zabraviat za relay izobshto.
Tova e
Pozdravi
Vesselin Kolev
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
iD8DBQE+io18+48lZPXaa+MRAvggAJwJ1QdxMTQKdn2l0xRK7e+TcmtDGACg29zR
ysA0EkXy7NjobFFUr69FVeI=
=Njh1
-----END PGP SIGNATURE-----
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|