Рейтинг:0

Переход с самозаверяющих сертификатов на коммерческий сертификат TLS/SSL: будет ли это работать так, как я ожидаю?

флаг mq

Новичок в мире коммерческих сертификатов, заранее спасибо за любые советы/рекомендации.

Наш единственный исходящий сервис — электронная почта, размещенная на MS Exchange 2016 (2019 в среднесрочной перспективе). Внутри у нас есть несколько сервисов с браузерными интерфейсами. Большинство из них размещены на серверах MS Server 2016 (также 2019 в среднесрочной перспективе), но один находится на RHEL 7.

Я пытаюсь решить две проблемы: внешне многие получатели электронной почты сообщают о доставке нежелательной/спамовой почты, хотя нас нет ни в каких черных списках, и наша репутация нейтральна; а внутри браузеры жалуются на самозаверяющие сертификаты, а некоторые полностью отказывают в доступе.

Мое чтение предполагает, что мне нужен подстановочный сертификат TLS/SSL. Похоже, я могу установить на несколько серверов, как внутренних, так и внешних, если все они знают закрытый ключ, который сгенерировал исходный CSR.

Правильно ли я читаю информацию в Интернете, и видите ли вы какие-либо красные флажки в том, что я пытаюсь сделать? Большое спасибо.

joeqwerty avatar
флаг cv
**извне многие получатели электронной почты сообщают о доставке нежелательной/спамовой почты** — это не связано с вашим SSL-сертификатом.
Рейтинг:1
флаг pl

Я пытаюсь решить две проблемы: внешне многие получатели электронной почты сообщают о доставке нежелательной/спамовой почты, хотя нас нет ни в каких черных списках, и наша репутация нейтральна; а внутри браузеры жалуются на самозаверяющие сертификаты, а некоторые полностью отказывают в доступе.

Чтобы решить первую проблему, вам может потребоваться настроить записи SPF/DKIM/DMARC в общедоступном DNS для вашего домена. На самом деле это не проблема, связанная с сертификатами.

Вы можете найти много документов в Интернете по этой теме.

Чтобы решить вторую проблему, вы можете либо импортировать самозаверяющие сертификаты в доверенные корневые центры сертификации клиентских устройств, чтобы они доверяли этим сертификатам, или используйте коммерческий сертификат, которому по умолчанию будут доверять клиенты.

Вот документ Microsoft о сертификатах Exchange, который может быть полезен для справки: Цифровые сертификаты и шифрование в Exchange Server

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.