Fórum Root.cz
Hlavní témata => Server => Téma založeno: PaSt . 25. 11. 2024, 08:31:47
-
Dobrý den,
existuje způsob jak zjistit se strany klienta jakým certifikátem je zašifrované IMAP spojení ze strany klienta, prosím? Třeba i příkazovou řádkou..?
Děkuji, P.
-
Vy se k IMAPu přihlašujete klientským certifikátem? O tom dost pochybuju (a pokud ano, měl byste ten certifikát s privátním klíčem někde v konfiguraci klienta).
Bude lepší napsat, jaký problém řešíte. Pak vám někdo může poradit.
-
openssl s_client -connect imap.seznam.cz:993 -showcerts
-
openssl s_client -connect imap.seznam.cz:993 -showcerts
To je ovšem certifikát serveru. PaSt psal „zašifrované IMAP spojení ze strany klienta“ – těžko říct, co to znamená.
-
Dotaz opět pochopili všichni mínus Jirsák. ;D
-
Nicméně má pravdu, nadpis mluví o certifikátu serveru a text o certifikátu klienta. Tazatel zřejmě myslel certifikát serveru, leč bylo by vhodné, aby to upřesnil.
-
Připojuji se k nepochopení vyjádřenému panem Jirsákem :-) a zároveň si dovolím trochu rozvinout Czipisovu odpověď:
openssl s_client -connect imap.seznam.cz:993 -showcerts | openssl x509 -text -noout
-
openssl s_client -connect imap.seznam.cz:993 -showcerts
Tohle funguje pro implicitní SSL na portu 993. Pro explicitní na portu 143 je potřeba ještě doplnit -starttls imap.
-
Ehm lol ...
Funguje to kupoduvu presne stejne jako vsechny ostatni protokoly, vcetne treba https ze?
Jinak receno, klient pouziva verejnou cast klice, kterym data sifruje a server to svou privatni casti desifruje, jak slozite ...
Funguje to tak samozrejme obousmerne (tzn cas od casu si obe strany vymenuji ty verejne klice). A proto jaksi nedava zadny smysl ho nejak zjistovat, je to jen nejaky hasnumero v ramce ktere za 10 minut uz nebude existovat.
Jinak na to zjistovani se da pouzivat i nmap
nmap --script ssl-cert,ssl-enum-ciphers -p 443 root.cz
Coz je pekna vostuda co, soudruhove z rootu provozujou deravy tls.
-
Vy se k IMAPu přihlašujete klientským certifikátem? O tom dost pochybuju (a pokud ano, měl byste ten certifikát s privátním klíčem někde v konfiguraci klienta).
Bude lepší napsat, jaký problém řešíte. Pak vám někdo může poradit.
Omlouvám se za nepřesné vyjádření - šlo o to jak na klientovi zjistit jaký certifikát nabízí _server_. Mea culpa, mea maxima culpa.
Řeším problém, že email server, který do teď racoval bez problému s self signed certifikátem na Apple iOS 17.x, je od poslední aktualizace na iOS18 z telefonu nedostupný. V diskusích jsem našel, že problém je v self signed i přes to, že mám svoji CA a její cert do telefonu naimportovaný, nicméně tuto CA Apple ať naschvál, nebo nevědomky, začal ignorovat, takže nemohu číst vlastní e-maily.
Řešením má být naimplementovat Let's Encrypt, jehož root CA Apple uznává, ale teď se trochu motám v nastavení serveru a přestože bych měl mít vše v pořádku, mám dojem, že mi pořád někde visí starý self-signed cert.
Z toho pramení potřeba zjistit, co za cert vlastně IMAP klient použije k sestavení spojení.
Odpověď jsem díky
openssl s_client -connect imap.seznam.cz:993 -showcerts
dostal.
Děkuji mnohokrát za všechny odpovědi.
P.
-
Řeším problém, že email server, který do teď racoval bez problému s self signed certifikátem na Apple iOS 17.x, je od poslední aktualizace na iOS18 z telefonu nedostupný. V diskusích jsem našel, že problém je v self signed i přes to, že mám svoji CA a její cert do telefonu naimportovaný, nicméně tuto CA Apple ať naschvál, nebo nevědomky, začal ignorovat, takže nemohu číst vlastní e-maily.
Za prvé, certifikát může být podepsaný buď certifikátem autority, nebo je podepsaný svým vlastním klíčem (self-signed). Pokud máte svoji CA a jí je vydaný certifikát, není ten koncový certifikát self-signed. Tolik k terminologii.
Co se týče uznávání certifikačních autorit – všichni (prohlížeče, operační systémy) zpřísňují pravidla pro certifikační autority, a to i pro ty soukromé. Dříve jste si jako soukromou CA mohl udělat jakýkoli certifikát – s libovolně malým klíčem, s libovolně zastaralým algoritmem, s libovolně dlouhou platností. To už dávno neplatí.
-
Řeším problém, že email server, který do teď racoval bez problému....
Mimochodem, co to je za mail server, jak máš řešeno přihlašování k IMAP, jak je to publikované do internetu?
Brutefore na IMAP je dost časté. Např. u Microsoftu se na mailových serverech už IMAP a všechny legacy protokoly zakazují, protože se tam nedá vynutit MFA.
-
Brutefore na IMAP je dost časté. Např. u Microsoftu se na mailových serverech už IMAP a všechny legacy protokoly zakazují, protože se tam nedá vynutit MFA.
A kdyz je to SSL, proc tam neni prihlasovani osobnim certifikatem, ktery bude schovan treba v TPM pod hleslem a otiskem? :D
-
openssl s_client -connect imap.seznam.cz:993 -showcerts
Díky, o tom jsem nevěděl, já to rubal takhle doteď
openssl s_client -connect target.com:25 -starttls smtp -name rev.fuka.cz|openssl x509 -noout -dates -ext subjectAltName
(případně se to může hodit, má to jiný formát, stručnější)
-
...Apple...
To je kapitola sama pro sebe ... ale jabko (zatim) s privatnima certifikatama funguje. Jen si musis dohledat, co vsechno musi ten certifikat splnovat, a pocitej s tim, ze to tak 2x rocne menej.
Uz jen pridat vlastni CA je totiz akce jak stavba raketoplanu.
Typicky se tomu nelibi nespravnej pocet bitu a moc dlouhla platnost, pripadne jeste nejaky priznaky. A i kdyz to udelas jak chteji, stejne to za 1/2 roku nebude fungovat. Pricemz to plati i pro LE, ostatne byl tu na to tema (zkraceni platnosti) i clanek.
Dost pak zalezi na tom, jak moc velkej vopruz je ty certifikaty vymenovat, v mnoha pripadech se to neda jinak nez rucne, coz je delat castejs nez rocne zcela neakceptovatelny.
-
...Apple...
To je kapitola sama pro sebe ... ale jabko (zatim) s privatnima certifikatama funguje. Jen si musis dohledat, co vsechno musi ten certifikat splnovat, a pocitej s tim, ze to tak 2x rocne menej.
Uz jen pridat vlastni CA je totiz akce jak stavba raketoplanu.
Typicky se tomu nelibi nespravnej pocet bitu a moc dlouhla platnost, pripadne jeste nejaky priznaky. A i kdyz to udelas jak chteji, stejne to za 1/2 roku nebude fungovat. Pricemz to plati i pro LE, ostatne byl tu na to tema (zkraceni platnosti) i clanek.
Dost pak zalezi na tom, jak moc velkej vopruz je ty certifikaty vymenovat, v mnoha pripadech se to neda jinak nez rucne, coz je delat castejs nez rocne zcela neakceptovatelny.
Ale ne, Apple Mail (iOS i macOS) jede naprosto v pohodě s IMAP serverem s Let's Encrypt certifikátem. Ani nemá námitky proti prodloužení certifikátu po 2 měsících. Na straně serveru (DoveCot) certifikát aktualizuje posthook skript. Funguje to bezobslužně.
U SMTP serveru taky, vtip je v tom, mít:
"IN TLSA 3 1 1"
(tj. kontroluje se public key, který zůstává, a ne celý certifikát, takže obnovení certifikátu nevede ke změně).
Vlastní CA stejně nemůžete mít kvůli Googlu, který už dávno nedůvěryhodné CA neakceptuje snad ani na SMTP.
-
Jiste, zatim ... apple se v tomhle chova casto jeste hur nez google, a kdyz si vymysli, ze platnost certifikatu bude tyden, nebude je zajimat, ze LE ma 3 mesice.