Introducción
Al utilizar TLS para entregar correo electrónico a través de un dispositivo de seguridad Cisco Email Security Appliance (ESA), puede optar por realizar la verificación de certificados mediante las opciones 'Verificar' o 'Verificar alojado'. Esta es una parte crucial de la seguridad de la entrega de correos electrónicos a través de TLS, y es importante saber cómo se realiza esta verificación.
¿Cuál es el algoritmo para la verificación de certificados en el dispositivo de seguridad Cisco Email Security Appliance (ESA)?
En realidad hay dos algoritmos, uno para la opción 'Verificar' y el otro para la opción 'Verificar alojado'. Por lo general, se recomienda la opción 'Verificación alojada', ya que es compatible con una mayor variedad de escenarios.
Antecedentes
- Esta documentación se basa en AsyncOS 8.0.1 y versiones posteriores. Las versiones anteriores de AsyncOS pueden tener un comportamiento algo diferente.
- A menos que se especifique lo contrario, se admiten coincidencias de comodines
- Cada algoritmo se detiene después de una coincidencia correcta y las comprobaciones subsiguientes no se evalúan
- El comando CLI tlsverify utiliza el 'Algoritmo de verificación'
Definiciones
- CN: Este es el nombre común, parte del asunto del certificado
- SAN: Extensión de nombre alternativo del asunto a X.509. Cuando se utiliza en este documento, nos referimos específicamente a cualquier nombre DNS incluido en el campo SAN.
- Dominio de correo electrónico: esta es la parte del dominio de la dirección de correo electrónico del destinatario. Por ejemplo, al entregar a 'user@example.com', el dominio de correo electrónico es 'example.com'
- Nombres de host MX: son los nombres de host de los registros MX del dominio de correo electrónico
- Nombre de host PTR: es el nombre de host devuelto por una búsqueda PTR DNS de la dirección IP a la que se está conectando el ESA
- Hostnames de rutas SMTP: Si se configura una ruta SMTP para este destino, éste es el hostname utilizado en la ruta SMTP
Algoritmo de verificación alojado
- Si el certificado contiene atributos SAN, sólo se utilizarán y se omitirá el CN. El CN sólo se utilizará si no hay atributos SAN en el certificado. Esto cumple con RFC 6125.
- El certificado se compara con el dominio de correo electrónico.
- El certificado se compara con cualquier nombre de host de ruta SMTP que pueda existir.
- El certificado se compara con los nombres de host MX.
- Si ninguna de las comprobaciones anteriores ha tenido éxito, la verificación falla.
Verificar algoritmo
- Los atributos SAN se comprueban con el dominio de correo electrónico.
- El CN se compara con el dominio de correo electrónico.
Nota: no se admiten coincidencias de comodines.
- Los atributos SAN se cotejan con el nombre de host PTR.
- Si ninguna de las comprobaciones anteriores ha tenido éxito, la verificación falla.