为邮件服务器使用 Let's Encrypt 证书

Question

为邮件服务器使用 Let's Encrypt 证书

Per*_*-lk 4 email-server postfix lets-encrypt

我目前有一个免费的 StartSSL 证书用于我的邮件服务器（postfix/dovecot）。当然，它工作正常，但 Let's Encrypt 证书使用起来更容易、更快捷。我的 Apache 服务器也使用 Let's Encrypt 证书。

那么，如果我决定为我的服务器使用 Let's Encrypt 证书，其他邮件服务器会拒绝我的电子邮件吗？Let's Encrypt 证书在邮件世界有多少被接受？

我知道每个最近的网络浏览器都接受 Let's Encrypt 证书。因此，Let's Encrypt 证书适用于网络。除非用户使用 Windows XP 并使用当时的通用浏览器，否则 Web 将在没有浏览器诊断的情况下正确显示。

但是邮件服务器呢？有没有人有让我们加密邮件证书的经验？具体来说，我关心的不是像 Gmail、Yahoo 或 Hotmail 这样的大公司，而是其他公司的其他私人服务器，它们可能不接受我的证书。

注意我还担心旧邮件客户端，如 Outlook 2007（我的一些客户还在使用它们，甚至 Outlook Express）和智能手机（iPhone 或 Android）。

ON -TOPIC EXTRA问题确实Microsoft产品委托证书管理的OS或其他微软产品？因为如果我没记错的话，至少在 Outlook 2003 和/或 2007 上，证书管理由 IE 浏览器负责；如果我也记得很清楚，在像 Firefox 这样的浏览器上安装用户证书，也有效地在操作系统本身上安装了证书（因为我认为它在系统范围内可用）。所以，如果我是对的，即使我的客户有一个旧的邮件客户端，证书也必须被自动接受（猜测他肯定有一个接受让我们加密 CA 的现代网络浏览器），因为来自 Chrome 的根 CA 或Firefox 在系统范围内可用。

简而言之：我应该冒险为我的邮件服务器转移到 Let's Encrypt 还是我至少再等一年。

Answer 1

Jac*_*ans 5

恕我直言：是的，LE 已准备好进行生产。

SMTP

Letsencrypt 非常适合邮件服务器之间的双向 TLS 通信。许多服务器支持带有自签名证书的 Opportunistic TLS，在极少数情况下，您会发现需要公开签名或 DANE 安全 TLS 连接的 MTA。

我在我所有的 postfix 服务器上使用 LE Certs，checktls.com给了我所有的绿灯！

[000.100]       Connected to server
[000.405]   <-- 220 vegas.localdomain ESMTP Postfix
[000.405]       We are allowed to connect
[000.406]   --> EHLO checktls.com
[000.500]   <-- 250-vegas.localdomain
250-PIPELINING
250-SIZE 52428800
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[000.500]       We can use this server
[000.501]       TLS is an option on this server
[000.501]   --> STARTTLS
[000.595]   <-- 220 2.0.0 Ready to start TLS
[000.596]       STARTTLS command works on this server
[000.827]       SSLVersion in use: TLSv1.2
[000.827]       Cipher in use: ECDHE-RSA-AES128-SHA256
[000.828]       Connection converted to SSL
[000.855]       
Certificate 1 of 3 in chain:
subject= /CN=vegas.jacobdevans.com
issuer= /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3                                                  
[000.882]       
Certificate 2 of 3 in chain:
subject= /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3                                                    
[000.908]       
Certificate 3 of 3 in chain:
subject= /O=Digital Signature Trust Co./CN=DST Root CA X3
issuer= /O=Digital Signature Trust Co./CN=DST Root CA X3                                                      
[000.909]       Cert VALIDATED: ok
[000.909]       Cert Hostname VERIFIED (vegas.jacobdevans.com = vegas.jacobdevans.com)
[000.909]   ~~> EHLO checktls.com
[001.006]   <~~ 250-vegas.localdomain
250-PIPELINING
250-SIZE 52428800
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
[001.007]       TLS successfully started on this server

Run Code Online (Sandbox Code Playgroud)

POP/IMAP

Letsencrypt 证书是交叉签名的，因此即使操作系统不支持根，它也可能已经信任根交叉签名的证书。与 firefox 不同，Outlook 使用内部 CA 信任，您可以使用 GPO 控制它并使用您喜欢的任何 CA（例如内部签名的 CA）

https://letsencrypt.org/certificates/

归档时间：	8 年，11 月前
查看次数：	4171 次
最近记录：	8 年，11 月前