Introduzione
Quando si utilizza TLS per recapitare la posta elettronica tramite Cisco Email Security Appliance (ESA), è possibile scegliere di eseguire la verifica del certificato utilizzando le opzioni 'Verifica' o 'Verifica ospitata'. Si tratta di una parte fondamentale per garantire la consegna delle e-mail tramite TLS ed è importante sapere come viene eseguita questa verifica.
Qual è l'algoritmo per la verifica dei certificati su Cisco Email Security Appliance (ESA)?
In realtà sono disponibili due algoritmi, uno per l'opzione 'Verifica' e l'altro per l'opzione 'Verifica ospitata'. In genere è consigliabile utilizzare l'opzione 'Hosted Verify', in quanto compatibile con una più ampia varietà di scenari.
Premesse
- Questa documentazione è basata su AsyncOS 8.0.1 e versioni successive. Le versioni precedenti di AsyncOS potrebbero avere un comportamento diverso.
- Se non diversamente specificato, sono supportate le corrispondenze con caratteri jolly
- Ogni algoritmo si arresta dopo una corrispondenza riuscita e i controlli successivi non vengono valutati
- Il comando CLI tlsverify usa l'algoritmo 'Verify'
Definizioni
- CN: Nome comune, parte dell'oggetto del certificato
- SAN: questa è l'estensione del nome soggetto alternativo a X.509. Se utilizzata in questo documento, fa specifico riferimento a qualsiasi nome DNS incluso nel campo SAN.
- Dominio e-mail: parte del dominio dell'indirizzo e-mail del destinatario. Ad esempio, per il recapito a 'user@example.com', il dominio e-mail è 'example.com'
- Nomi host MX: sono i nomi host dei record MX del dominio e-mail.
- Nome host PTR: nome host restituito da una ricerca PTR DNS dell'indirizzo IP a cui si connette l'ESA.
- Nomi host route SMTP: se per questa destinazione è configurata una route SMTP, questo è il nome host utilizzato nella route SMTP
Algoritmo di verifica ospitato
- Se il certificato contiene attributi SAN, verranno utilizzati solo questi e la CN verrà ignorata. La CN verrà utilizzata solo se nel certificato non sono presenti attributi SAN. È conforme alla RFC 6125.
- Il certificato viene confrontato con il dominio di posta elettronica.
- Il certificato viene confrontato con qualsiasi nome host di route SMTP esistente.
- Il certificato viene confrontato con i nomi host MX.
- Se nessuno dei controlli precedenti ha avuto esito positivo, la verifica ha esito negativo.
Verifica algoritmo
- Gli attributi SAN vengono confrontati con il dominio e-mail.
- La CN viene confrontata con il dominio e-mail.
Nota: i caratteri jolly non sono supportati.
- Gli attributi SAN vengono confrontati con il nome host PTR.
- Se nessuno dei controlli precedenti ha avuto esito positivo, la verifica ha esito negativo.