¿Cuál es el algoritmo para la verificación de certificados en el dispositivo de seguridad Cisco Email Security Appliance (ESA)?

Opciones de descarga

  • PDF     (235.3 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (90.2 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (76.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:24 de junio de 2016
ID del documento:200537

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Al utilizar TLS para entregar correo electrónico a través de un dispositivo de seguridad Cisco Email Security Appliance (ESA), puede optar por realizar la verificación de certificados mediante las opciones 'Verificar' o 'Verificar alojado'.  Esta es una parte crucial de la seguridad de la entrega de correos electrónicos a través de TLS, y es importante saber cómo se realiza esta verificación.

¿Cuál es el algoritmo para la verificación de certificados en el dispositivo de seguridad Cisco Email Security Appliance (ESA)?

En realidad hay dos algoritmos, uno para la opción 'Verificar' y el otro para la opción 'Verificar alojado'.  Por lo general, se recomienda la opción 'Verificación alojada', ya que es compatible con una mayor variedad de escenarios.

Antecedentes

  • Esta documentación se basa en AsyncOS 8.0.1 y versiones posteriores.  Las versiones anteriores de AsyncOS pueden tener un comportamiento algo diferente.
  • A menos que se especifique lo contrario, se admiten coincidencias de comodines
  • Cada algoritmo se detiene después de una coincidencia correcta y las comprobaciones subsiguientes no se evalúan
  • El comando CLI tlsverify utiliza el 'Algoritmo de verificación'

Definiciones

  • CN: Este es el nombre común, parte del asunto del certificado
  • SAN: Extensión de nombre alternativo del asunto a X.509. Cuando se utiliza en este documento, nos referimos específicamente a cualquier nombre DNS incluido en el campo SAN.
  • Dominio de correo electrónico: esta es la parte del dominio de la dirección de correo electrónico del destinatario.  Por ejemplo, al entregar a 'user@example.com', el dominio de correo electrónico es 'example.com'
  • Nombres de host MX: son los nombres de host de los registros MX del dominio de correo electrónico
  • Nombre de host PTR: es el nombre de host devuelto por una búsqueda PTR DNS de la dirección IP a la que se está conectando el ESA
  • Hostnames de rutas SMTP: Si se configura una ruta SMTP para este destino, éste es el hostname utilizado en la ruta SMTP

Algoritmo de verificación alojado

  1. Si el certificado contiene atributos SAN, sólo se utilizarán y se omitirá el CN.  El CN sólo se utilizará si no hay atributos SAN en el certificado.  Esto cumple con RFC 6125.
  2. El certificado se compara con el dominio de correo electrónico.
  3. El certificado se compara con cualquier nombre de host de ruta SMTP que pueda existir.
  4. El certificado se compara con los nombres de host MX.
  5. Si ninguna de las comprobaciones anteriores ha tenido éxito, la verificación falla.

Verificar algoritmo

  1. Los atributos SAN se comprueban con el dominio de correo electrónico.
  2. El CN se compara con el dominio de correo electrónico. 

    Nota: no se admiten coincidencias de comodines.

  3. Los atributos SAN se cotejan con el nombre de host PTR.
  4. Si ninguna de las comprobaciones anteriores ha tenido éxito, la verificación falla.

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
24-Jun-2016
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • John Hess
    Ingeniero del TAC de Cisco

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos