Introdução
Ao usar o TLS para enviar e-mails por meio de um Cisco Email Security Appliance (ESA), você pode optar por executar a verificação de certificado usando as opções 'Verificar' ou 'Verificar hospedado'. Essa é uma parte crucial da segurança da entrega de e-mails por TLS, e é importante saber como essa verificação é executada.
Qual é o algoritmo para verificação de certificado no Cisco Email Security Appliance (ESA)?
Na verdade, existem dois algoritmos, um para a opção 'Verify' e outro para a opção 'Hosted Verify'. Normalmente, a opção 'Verificação hospedada' é recomendada, pois é compatível com uma grande variedade de cenários.
Informações de Apoio
- Esta documentação é baseada no AsyncOS 8.0.1 e versões posteriores. As versões anteriores do AsyncOS podem ter um comportamento um pouco diferente.
- A menos que especificado de outra forma, as correspondências de curinga são suportadas
- Cada algoritmo para após uma correspondência bem-sucedida e as verificações subsequentes não são avaliadas
- O comando CLI tlsverify usa o "algoritmo de verificação"
Definições
- CN: Este é o nome comum, parte do assunto do certificado
- SAN: este é o ramal do nome alternativo do assunto para X.509. Quando usado neste documento, estamos nos referindo especificamente a qualquer nome DNS incluído no campo SAN.
- Domínio de e-mail: Esta é a parte do domínio do endereço de e-mail do destinatário. Por exemplo, ao entregar para 'user@example.com', o domínio de email é 'example.com'
- Nomes de host MX: esses são os nomes de host dos registros MX do domínio de e-mail
- Nome de host PTR: este é o nome de host retornado por uma pesquisa PTR de DNS do endereço IP ao qual o ESA está se conectando
- Nomes de host de rotas SMTP: se uma rota SMTP estiver configurada para esse destino, esse será o nome de host usado na rota SMTP
Algoritmo de verificação hospedado
- Se o certificado contiver atributos SAN, somente eles serão usados e o CN será ignorado. O CN só será usado se não houver atributos SAN no certificado. Isso está em conformidade com o RFC 6125.
- O certificado é verificado em relação ao domínio de e-mail.
- O certificado é verificado em relação a qualquer nome de host de rota SMTP que possa existir.
- O certificado é comparado com o(s) nome(s) de host MX.
- Se nenhuma das verificações anteriores tiver sido bem-sucedida, a verificação falhará.
Verificar algoritmo
- Os atributos da SAN são comparados ao domínio de e-mail.
- O CN é comparado com o domínio de e-mail.
Observação: não há suporte para correspondências de curingas.
- Os atributos SAN são comparados ao nome de host PTR.
- Se nenhuma das verificações anteriores tiver sido bem-sucedida, a verificação falhará.