Quel est l'algorithme de vérification des certificats sur le dispositif de sécurité de la messagerie Cisco (ESA) ?

Options de téléchargement

  • PDF     (234.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (88.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (75.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:24 juin 2016
ID du document:200537

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Lorsque vous utilisez TLS pour envoyer des e-mails via un dispositif de sécurité de la messagerie Cisco (ESA), vous pouvez choisir d'effectuer la vérification de certificat à l'aide des options « Vérifier » ou « Vérifier hébergé ».  Il s'agit d'un élément essentiel de la sécurisation de la livraison des e-mails sur TLS, et il est important de savoir comment cette vérification est effectuée.

Quel est l'algorithme de vérification des certificats sur le dispositif de sécurité de la messagerie Cisco (ESA) ?

Il existe en fait deux algorithmes, l'un pour l'option « Vérifier » et l'autre pour l'option « Vérifier hébergé ».  En général, l'option « Vérification hébergée » est recommandée, car elle est compatible avec un plus grand nombre de scénarios.

Informations générales

  • Cette documentation est basée sur AsyncOS 8.0.1 et les versions ultérieures.  Les versions antérieures d'AsyncOS peuvent avoir un comportement quelque peu différent.
  • Sauf indication contraire, les correspondances génériques sont prises en charge
  • Chaque algorithme s'arrête après une correspondance réussie et les vérifications suivantes ne sont pas évaluées
  • La commande CLI tlsverify utilise l'algorithme de vérification

Définitions

  • CN : Il s'agit du nom usuel, qui fait partie de l'objet du certificat
  • SAN : il s'agit de l'extension Substitut Name de l'objet de X.509. Lorsqu'elle est utilisée dans ce document, nous faisons spécifiquement référence à tous les noms DNS inclus dans le champ SAN.
  • Domaine de messagerie : il s'agit de la partie domaine de l'adresse e-mail du destinataire.  Par exemple, lors de la remise à 'user@example.com', le domaine de messagerie est 'example.com'
  • MX Hostnames : noms d'hôte des enregistrements MX du domaine de messagerie
  • PTR Hostname : nom d'hôte renvoyé par une recherche DNS PTR de l'adresse IP à laquelle ESA se connecte
  • SMTP Route Hostnames : si une route SMTP est configurée pour cette destination, il s'agit du nom d'hôte utilisé dans la route SMTP

Algorithme de vérification hébergée

  1. Si le certificat contient des attributs SAN, seuls ces attributs seront utilisés et le CN sera ignoré.  Le CN ne sera utilisé que s'il n'y a pas d'attributs SAN dans le certificat.  Cette norme est conforme à la norme RFC 6125.
  2. Le certificat est comparé au domaine de messagerie.
  3. Le certificat est comparé à tous les noms d'hôtes de routage SMTP qui peuvent exister.
  4. Le certificat est comparé au(x) nom(s) d'hôte MX.
  5. Si aucune des vérifications précédentes n'a abouti, la vérification échoue.

Vérifier l'algorithme

  1. Les attributs SAN sont comparés au domaine de messagerie.
  2. Le CN est comparé au domaine de messagerie. 

    Remarque : les correspondances de caractères génériques ne sont pas prises en charge.

  3. Les attributs SAN sont comparés au nom d'hôte PTR.
  4. Si aucune des vérifications précédentes n'a abouti, la vérification échoue.

Historique de révision

Révision Date de publication Commentaires
1.0
24-Jun-2016
Première publication
TAC Authored

Contribution d’experts de Cisco

  • John Hess
    Ingénieur TAC Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits