LINUX.ORG.RU

История изменений

Исправление shahid, (текущая версия) :

Т.е. НЕ нужна двусторонняя аутентификация по сертификатам. Подлинность сертификата exim'а всё равно никто не сможет проверить (он будет самоподписанным)

Можно просто отрубить шифрование, по сути безопасности мало что изменится: если кому-то надо будет прослушать трафик, то проблем не возникнет никаких вообще.

Как заставить использовать симметричный алгоритм AES (а не 3DES, IDEA или любой другой) и асимметричный алгоритм RSA (а не Диффи-Хеллмана или любой другой)?

Чтобы RSA работал, нужно сгенерить RSA private key нужного размера, сертификат на его основе, и последний раздавать клиентам.

Как заставить exim определять, поддерживает ли клиент ГОСТ и на основании этого подсовывать клиенту тот или другой сертификат? В настройках exim, если я не ошибаюсь, возможно указание директивы tls_privatekey только один раз (а надо хотябы два!).

Вроде бы никак. (но можно попробовать засунуть в один файл несколько сертификатов, а другой файл - несколько ключей — авось повезет).

Судя по объему требуемых ssl-настроек и костылей имеет смысл использовать (написать) какой-то frontend ssl-сервер, специализируется на этом, а exim поднять на 127.0.0.1 порту без шифрования.

Исходная версия shahid, :

Т.е. НЕ нужна двусторонняя аутентификация по сертификатам. Подлинность сертификата exim'а всё равно никто не сможет проверить (он будет самоподписанным)

Можно просто отрубить шифрование, по сути безопасности мало что изменится: если кому-то надо будет прослушать трафик, то проблем не возникнет никаких вообще.

Как заставить использовать симметричный алгоритм AES (а не 3DES, IDEA или любой другой) и асимметричный алгоритм RSA (а не Диффи-Хеллмана или любой другой)?

Чтобы RSA работал, нужно сгенерить RSA private key нужного размера, сертификат на его основе, и последний раздавать клиентам.

Как заставить exim определять, поддерживает ли клиент ГОСТ и на основании этого подсовывать клиенту тот или другой сертификат? В настройках exim, если я не ошибаюсь, возможно указание директивы tls_privatekey только один раз (а надо хотябы два!).

Вроде бы никак.

Судя по объему требуемых ssl-настроек и костылей имеет смысл использовать (написать) какой-то frontend ssl-сервер, специализируется на этом, а exim поднять на 127.0.0.1 порту без шифрования.