Почему возникает ошибка проверки при использовании самоподписанных сертификатов для TLS?

Вопрос или проблема

sudo postconf -X `postconf -nH | egrep '^smtpd(_|_enforce_|_use_)tls'`
sudo postfix tls enable-server
sudo postfix reload

stream_socket_enable_crypto(): SSL operation failed with code 1. OpenSSL Error messages:  
  error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

Ответ или решение

Вопрос о возникновении ошибки верификации при использовании самоподписанных сертификатов в TLS является актуальным для многих ИТ-специалистов, особенно в контексте настройки почтовых серверов, таких как Postfix. Давайте подробно разберем, почему эта проблема возникает и как ее можно решить.

Теоретическая основа (Theory)

TLS (Transport Layer Security) протокол используется для шифрования данных, передаваемых по сети, с целью обеспечения их конфиденциальности и целостности. Для его работы используются сертификаты, которые подтверждают подлинность сторон в коммуникации. Обычно такие сертификаты выдаются удостоверяющими центрами (Certificate Authorities, CA), которые являются доверенными третьими сторонами. Однако в случае самоподписанных сертификатов, как следует из названия, они создаются самостоятельно и не выдаются сторонними удостоверяющими центрами. Это делает их недоверенными для большинства приложений и систем по умолчанию, в чём основная причина валидационных ошибок.

Пример (Example)

В вашем случае вы используете самоподписанный сертификат, сгенерированный с помощью команды postfix tls enable-server, для настройки TLS в Postfix. Когда вы пытаетесь установить TLS-соединение с помощью команды openssl s_client -connect mailhost:25 -starttls smtp, OpenSSL автоматически проверяет цепочку доверия сертификата до корневого сертификата в своей доверенной базе данных. Самоподписанный сертификат не имеет такого доверия, так как не связан с известным CA. В результате вы получаете сообщение об ошибке верификации: Verification error: self signed certificate.

Применение (Application)

Чтобы устранить проблему и успешно использовать самоподписанный сертификат, необходимо предпринять несколько шагов:

1. Добавление сертификата в доверенные: Можно напрямую добавить ваш самоподписанный сертификат в доверенное хранилище на стороне клиента или сервера. Это потребует копирования сертификата в соответствующий каталог доверенных корневых сертификатов и обновление конфигураций таких приложений или служб, как OpenSSL и Postfix.

2. Обход проверки сертификатов: Для тестовых целей или если вы контролируете обе стороны соединения, вы можете настроить клиента так, чтобы он игнорировал ошибки проверки сертификата. Например, используйте параметр -ign_e(t) в OpenSSL для игнорирования ошибок цепочки сертификатов. Однако это решение следует применять с осторожностью, так как оно снижает уровень безопасности.

3. Использование фактического CA: Наиболее надежное решение для производственной среды — получить сертификат от удостоверяющего центра, например Let’s Encrypt, который выдаёт бесплатные, общепризнанные сертификаты, работающие с минимальными настройками.

4. Обновление клиентских приложений: Если вы контролируете программные приложения на стороне клиента, возможно, стоит реализовать логику, которая будет доверять определенным самоподписанным сертификатам, например, добавляя их хеши в разрешенный список.

Стоит также изучить конфигурацию Postfix для корректности передач данных и настроить правильные пути к сертификатам в main.cf. Постфикс должен четко знать, где найти приватный ключ и сертификат.

Настройка TLS в Postfix требует детального понимания использования сертификатов и настройки программного обеспечения. Самоподписанные сертификаты могут быть удобным временным решением, но для продуктивной среды рекомендуется использовать выдачу сертификатов через общепринятый CA для минимизации проблем с верификацией и установления доверительных связей. Надеюсь, это поможет вам лучше понять происходящие процессы и найти наиболее эффективное решение для вашей конфигурации Postfix.