Introduction
Lorsque vous utilisez TLS pour envoyer des e-mails via un dispositif de sécurité de la messagerie Cisco (ESA), vous pouvez choisir d'effectuer la vérification de certificat à l'aide des options « Vérifier » ou « Vérifier hébergé ». Il s'agit d'un élément essentiel de la sécurisation de la livraison des e-mails sur TLS, et il est important de savoir comment cette vérification est effectuée.
Quel est l'algorithme de vérification des certificats sur le dispositif de sécurité de la messagerie Cisco (ESA) ?
Il existe en fait deux algorithmes, l'un pour l'option « Vérifier » et l'autre pour l'option « Vérifier hébergé ». En général, l'option « Vérification hébergée » est recommandée, car elle est compatible avec un plus grand nombre de scénarios.
Informations générales
- Cette documentation est basée sur AsyncOS 8.0.1 et les versions ultérieures. Les versions antérieures d'AsyncOS peuvent avoir un comportement quelque peu différent.
- Sauf indication contraire, les correspondances génériques sont prises en charge
- Chaque algorithme s'arrête après une correspondance réussie et les vérifications suivantes ne sont pas évaluées
- La commande CLI tlsverify utilise l'algorithme de vérification
Définitions
- CN : Il s'agit du nom usuel, qui fait partie de l'objet du certificat
- SAN : il s'agit de l'extension Substitut Name de l'objet de X.509. Lorsqu'elle est utilisée dans ce document, nous faisons spécifiquement référence à tous les noms DNS inclus dans le champ SAN.
- Domaine de messagerie : il s'agit de la partie domaine de l'adresse e-mail du destinataire. Par exemple, lors de la remise à 'user@example.com', le domaine de messagerie est 'example.com'
- MX Hostnames : noms d'hôte des enregistrements MX du domaine de messagerie
- PTR Hostname : nom d'hôte renvoyé par une recherche DNS PTR de l'adresse IP à laquelle ESA se connecte
- SMTP Route Hostnames : si une route SMTP est configurée pour cette destination, il s'agit du nom d'hôte utilisé dans la route SMTP
Algorithme de vérification hébergée
- Si le certificat contient des attributs SAN, seuls ces attributs seront utilisés et le CN sera ignoré. Le CN ne sera utilisé que s'il n'y a pas d'attributs SAN dans le certificat. Cette norme est conforme à la norme RFC 6125.
- Le certificat est comparé au domaine de messagerie.
- Le certificat est comparé à tous les noms d'hôtes de routage SMTP qui peuvent exister.
- Le certificat est comparé au(x) nom(s) d'hôte MX.
- Si aucune des vérifications précédentes n'a abouti, la vérification échoue.
Vérifier l'algorithme
- Les attributs SAN sont comparés au domaine de messagerie.
- Le CN est comparé au domaine de messagerie.
Remarque : les correspondances de caractères génériques ne sont pas prises en charge.
- Les attributs SAN sont comparés au nom d'hôte PTR.
- Si aucune des vérifications précédentes n'a abouti, la vérification échoue.