SMTP et TLS
Oui, tu as raison pour les MUA. Gmail d'ailleurs ne récupère pas les email en pop3 ou imap TLS si il n'y a pas de certificat valide.
Par contre pour les MTA, tu es sûr ? J'ai pour l'instant installé mon certificat auto-signé et je reçois bien les emails provenant de gmail et pourtant google semble le plus pointilleux sur la sécurité. Par contre en envoi on est bien d'accord que le certificat n'a aucune importance ? C'est bien le serveur qui s'authentifie et jamais le client ?
TBC_Ly0n
03/03/2016, 11h39
De plus en plus de clients (MUA) refusent les certificats auto-signés.
Sur une Debian Jessie avec Roundcube, j'étais obligé de ruser... jusqu'à prendre un certificat DV chez StartSSL gratuit.
Certains Serveurs (MTA) ont tendance à couiner aussi quand le certificat n'est pas valide.
encore pire: serveur non sécuriser aux passage servira à quoi le ssl...
- - - Mise à jour - - -
j'ai résament testé la révoke est payante
Bonjour,
sinon au pire y a des SSL comodo à 9-12€/an (Cf :
https://www.namecheap.com/security/s...sitivessl.aspx), donc pourquoi lâcher 70€/an ?
Sinon Let's Encrypt est peut être en bêta, mais visiblement cela n’empêche pas de "gros" hébergeur de les utiliser (online.net/infomaniak et y en a surement d'autre et bientôt OVH).
Cordialement, janus57
fritz2cat
29/02/2016, 12h28
J'avais l'habitude de StartSSL à 0€ pour un an en DV.
Récemment leurs serveurs semblent avoir été exportés d'Israël vers la Chine, je trouve cela un peu bizarre.
Mais le service a toujours bien fonctionné pour moi.
Si on fabrique ses clés soi-même et qu'on envoie un CSR pour recevoir un certificat, alors l'autorité de certification n'a pas de copie de la clé privée.
Let's Encrypt est encore en beta et il est déconseillé de l' utilisé en prod , comme avec les certifs auto-signés , certains clients mail peuvent générer des warnings voir des blocages.
Je cite :
Note: Let’s Encrypt is in beta. Please don’t use it unless you’re comfortable with beta software that may contain bugs.
On peut trouver aujoud' hui du QuickSSL en DV à moins de 70 euros / an , reconnu par tous clients et donc si le services est minimum sérieux ,cela ne vaut pas le coup de le priver de quelques choses de propre.
Bonne journée.
OK, si c'est aussi simple alors je vais me tourner vers ça. Mercis !
au pire un renouvellement à la main en 1 ligne de commande...
En + tu reçois un mail avant l'expiration du certificat donc pas de risque d'oublier non plus...
franchement la mise en place prend 10mn
Oui, c'est vrai pour ce qui est de pop ou imap, gmail vérifie le certificat tout comme beaucoup de clients messagerie d'ailleurs.
Autrement je vais tester avec un auto signé puis je verrai pour un startssl, peut-être let's encrypt aussi mais j'ai pas trop le temps en ce moment pour lire des tutos pour le renouvellement.
Merci pour vos réponses.
Gmail refuse les certificats auto signés si tu veux relever tes mails dans Google c'est tout.
Après, c'est vrai que lets encrypt est gratuit et se renouvelle tout seul. (il y a plein plein de tutos pour l'installer et lancer le renouvellement auto).
fritz2cat
26/02/2016, 21h17
Je suis avec un certificat auto-signé et à ce jour je n'ai pas de problème ni en envoi ni en réception.
letsencrypt est gratuit et fonctionne très bien pour les certifs mails.
Dans la mesure du possible il vaut mieux éviter les auto signés.
c'est simple : tu mets un cron qui renouvelle tout seul ^^
Bonjour,
Si il faut renouveler tous les 90 jours ça peut être embêtant
pourquoi ?
Un simple script qui le fait tout seul et 0 problème (je suis sûr que cela doit déjà exister en plus).
Je crois que google aime pas les self-signed, en tout cas perso j'ai toujours utilisé un certificat startssl (le gratuit) sur un exim4 en sortie de mail et 0 problèmes.
Cordialement, janus57
Si il faut renouveler tous les 90 jours ça peut être embêtant mais après réflexion pour l'envoi il n'y a pas de souci, c'est pas au client d'être authentifié.
Et pour la réception, je viens de faire quelques recherches et visiblement le but est surtout de crypter ici et il n'y a pas vraiment de vérification de clé pour l'instant.
Donc je vais déjà voir avec un self signed et si je ne reçois plus rien j'aviserai !
Bonjour,
pour être sûr essayer avec Let's Encrypt normalement cela doit passer, faut juste penser à le renouveler avant la fin des 90jours.
Cordialement, janus57
Freemaster
26/02/2016, 19h04
quitte à utiliser un auto signé, autant se servir de letscencrypt... c'est gratuit
Bonjour à tous,
Je vais installer TLS sur mon serveur de mail par contre faut-il un certificat fourni pas une autorité certifiée pour ça ou bien un simple auto-signé suffit ?
Je ne voudrais pas que tous mes mails soit rejetés à cause de ça.