Vsevolod Stakhov wrote: >>> Возможно, следует добавить следующие две вещи в порт mail/exim: >>> >>> 1) зависимость от openssl должна быть жестко от openssl port, а >>> не от openssl base > >> Сева, а может лучше дать возможность выбора использования OpenSSL >> из порта или из базовой системы. > > Я считаю данную возможность, как и наличие openssl в базе - огромной > ошибкой, из-за которой мы имеем огромное количество дырявых систем, > которые не были бы дырявыми в случае openssl из портов/пакетов. Тут > надежда только на pkg для base и на более вменяемую политику security > updates.
так если сейчас кто-то не обновляет базовую систему (и вместе с ней базовый OpenSSL) в случае необходимости, так он точно также в случае появления уязвимостей может плевать на ругань pkg audit и не обновлять портовый OpenSSL. я не ратую за использование базового OpenSSL (у самого уже везде портовый используется, но не из-за exim), но может не надо так прямо с плеча рулить? >> понятное дело, что в свете событий последнего года или полутора >> лучше использовать портовый. > > Учитывая 0day статус всех этих уязвимостей а также тот факт, что новые > дыры вносятся тоже постоянно, единственный вариант - это quaterly > branches пакетов и немедленная реакция security officers на все > найденные проблемы. так на проблемы в любом случае нужно реагировать, будь то проблемы с базовой системой, ядром или пакетами. >> но может у кого-то будут объективные причины использовать базовый >> OpenSSL. а если exim по зависимостям потянет и портовый OpenSSL, то >> куча остальных портов при сборке будут использовать именно его. > > Никаких *объективных* причин на это нет. К счастью, наши re@ и > остальное коммьюнити уже согласны с этой точкой зрения (по поводу > выноса openssl из base). ну... если вы там у себя уже все решили, то может оно и к лучшему... >>> 2) при включении зависимости от openssl включать зависимость от >>> ca_root_nss > >> а вот это хорошая идея. галка "Add symlink to /etc/ssl/cert.pem" >> вроде там по дефолту стоит. так что в этом случае предупреждений о >> валидных сертификатах уже не будет в логах. > >> но даже у крупных почтовых систем, даже при использовании >> сертификатов, заверенных центрами сертификации, могут быть >> предупреждения в логах. > > Но имя должно проверяться через DANE! Проверка сертификата через > trusted CA - это всего лишь костыль для тех, у кого сломан DNSSEC. > >> на примере домена narod.ru > >> # host -t mx narod.ru narod.ru mail is handled by 10 >> mx2.yandex.ru. narod.ru mail is handled by 10 mx1.yandex.ru. >> narod.ru mail is handled by 10 mx3.yandex.ru. > > >> смотрим Common Name сертификата на mx1.yandex.ru: > > >> # true | openssl s_client -connect mx1.yandex.ru:25 -servername >> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout >> -subject > >> subject= /C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russian >> Federation/CN=mx.yandex.ru/emailAddress=p...@yandex-team.ru > > >> а в CN указан не mx1.yandex.ru, а mx.yandex.ru > >> смотрим синонимы: > > >> # true | openssl s_client -connect mx1.yandex.ru:25 -servername >> mx1.yandex.ru -starttls smtp 2>/dev/null | openssl x509 -noout >> -text | grep -A 1 'Subject Alternative Name' > >> X509v3 Subject Alternative Name: DNS:mx.yandex.ru, >> DNS:mx.yandex.net > > >> тут есть mx.yandex.ru, mx.yandex.net, но нет mx1.yandex.ru > > >> соответственно, в логах exim'а будут предупреждения о >> несоответствии имени хоста MX'а и CN/Alternative Name сертификата: >> "SSL verify error: certificate name mismatch". > > >> у rambler.ru тоже самое - на основном MX'е imx1.rambler.ru >> используется сертификат, выписанный для mail.rambler.ru: > > >> # true | openssl s_client -connect imx1.rambler.ru:25 -servername >> imx1.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout >> -subject > >> subject= /C=RU/ST=Moscow/L=Moscow/O=Rambler Internet Holdings, >> LLC/CN=mail.rambler.ru > > >> список синонимов там выше крыши, но imx1.rambler.ru среди них нет: > > >> # true | openssl s_client -connect mail.rambler.ru:25 -servername >> mail.rambler.ru -starttls smtp 2>/dev/null | openssl x509 -noout >> -text | grep -A 1 'Subject Alternative Name' > >> X509v3 Subject Alternative Name: DNS:pop.rambler.ru, >> DNS:imap.rambler.ru, DNS:smtp.rambler.ru, DNS:pop3.rambler.ru, >> DNS:mxf2.rambler.ru, DNS:mxf1.rambler.ru, DNS:mail.rambler.ru > > >> так что предупреждения в логах мы будем ещё долго вылавливать > >> кстати, ты товарищей из rambler.ru по старой памяти не хочешь >> подергать по этому вопросу? > > Я могу сказать, но шансы, что они перевыпишут свой сертификат не очень > велики. Зато можно попробовать протолкнуть идею TLSA записей (что > имеет свои проблемы, особенно если они не используют DNSSEC подписи). сдаётся мне, что ещё долго всё это будет в таком подвешенном состоянии. и еще долго будем мы проверять соответствие сертификатов по CN и Alternative Name. -- Best wishes Victor Ustugov mailto:vic...@corvax.kiev.ua public GnuPG/PGP key: http://victor.corvax.kiev.ua/corvax.asc ICQ UIN: 371808614 JID: corvax_at...@jabber.corvax.kiev.ua nic-handle: CRV-UANIC _______________________________________________ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
