В настоящее время я нахожусь в процессе соответствия PCI, и у меня осталось 6 предупреждений. Одно из них, с которым я особенно борюсь, это "SSL Certificate Cannot Be Trusted IMAP (143/TCP)". Я использую Postfix/Courier-Imap на CentOS 6.5, и у меня уже установлен SSL-сертификат на порту 993 (IMAPS).
У меня вопрос: как добавить, изменить или удалить SSL на порту 143?
Я думал, что порт 993 — это IMAP + SSL, поэтому не понимаю, почему мой сканер жалуется на ненадежный SSL на порту 143.
Извините, если это не совсем понятно.
Обновление: эта проблема также возникает на портах 587, 443, 110 и 25 (сертификат SSL не может быть доверенным), а приведенное описание: «Сертификат X.509 сервера не имеет подписи известного публичного центра сертификации». Есть ли где-то центральный сертификат, на который ссылаются эти предупреждения?
решение1
Предупреждение об IMAP/143, вероятно, вызвано тем, что ваш imapd поддерживает TLS, поэтому инструмент подключается к открытому IMAP, запрашивает эскалацию до TLS и жалуется на представленный затем сертификат.
Вы не говорите, какой у вас MTA, и я не эксперт по Courier IMAP, но sendmail и dovecot определенно не используют по умолчанию один и тот же сертификат. Даже на моем главном сервере, где они все используют один и тот же сертификат, они не все получают его из одного и того же файла, поскольку хотят его в разных форматах: один хочет открытый и закрытый ключ вместе в файле PEM, другой хочет отдельные файлы ключа и сертификата, но сертификат цепочки вставлен catв основной сертификат, еще один хочет сертификат цепочки в отдельном файле.
Мне кажется вероятным, что то же самое будет верно и для вас. Вам придется посмотреть на конфигурации courier и вашего MTA, и посмотреть, где они ищут свои SSL-сертификаты - только тогда вы сможете сказать, правы ли они.