소개
TLS를 사용하여 Cisco ESA(Email Security Appliance)를 통해 이메일을 전달할 때 'Verify' 또는 'Hosted Verify' 옵션을 사용하여 인증서 확인을 수행하도록 선택할 수 있습니다. 이는 TLS를 통한 이메일 전달 보안의 중요한 부분이며, 이러한 검증이 어떻게 수행되는지 아는 것이 중요하다.
Cisco ESA(Email Security Appliance)에서 인증서를 검증하는 알고리즘은 무엇입니까?
실제로 두 개의 알고리즘이 있습니다. 하나는 'Verify' 옵션에 사용되고 다른 하나는 'Hosted Verify' 옵션에 사용됩니다. 일반적으로 'Hosted Verify' 옵션은 더 다양한 시나리오와 호환되므로 권장됩니다.
배경 정보
- 이 설명서는 AsyncOS 8.0.1 이상 버전을 기반으로 합니다. 이전 버전의 AsyncOS는 다소 다른 동작을 가질 수 있습니다.
- 달리 명시되지 않는 한 와일드카드 일치가 지원됩니다
- 각 알고리즘은 일치가 성공한 후 중지되고 이후의 확인은 평가되지 않습니다
- CLI 명령 tlsverify는 'Verify Algorithm'을 사용합니다
정의
- CN: 인증서 주체의 일부인 일반 이름입니다.
- SAN: X.509에 대한 SAN(Subject Alternate Name) 확장입니다. 이 문서에서 사용하는 경우 SAN 필드에 포함된 모든 DNS 이름을 구체적으로 언급합니다.
- Email Domain(이메일 도메인): 수신자의 이메일 주소의 도메인 부분입니다. 예를 들어 'user@example.com'에 전달할 때 이메일 도메인은 'example.com'입니다.
- MX 호스트 이름: 이메일 도메인 MX 레코드의 호스트 이름입니다
- PTR Hostname(PTR 호스트 이름): ESA가 연결 중인 IP 주소의 DNS PTR 조회에서 반환되는 호스트 이름입니다
- SMTP 경로 호스트 이름: 이 대상에 대해 SMTP 경로가 구성된 경우, 이는 SMTP 경로에 사용되는 호스트 이름입니다
호스티드 확인 알고리즘
- 인증서에 SAN 특성이 포함되어 있으면 이러한 특성만 사용되며 CN은 무시됩니다. CN은 인증서에 SAN 특성이 없는 경우에만 사용됩니다. 이는 RFC 6125를 준수합니다.
- 인증서가 이메일 도메인에 대해 검사됩니다.
- 인증서가 존재할 수 있는 SMTP 경로 호스트 이름을 기준으로 검사됩니다.
- 인증서가 MX 호스트 이름에 대해 확인 됩니다.
- 이전 검사가 하나도 성공하지 못하면 검증이 실패합니다.
알고리즘 확인
- SAN 특성은 이메일 도메인을 기준으로 점검됩니다.
- CN이 이메일 도메인과 대조됩니다.
참고: 와일드카드 일치는 지원되지 않습니다.
- SAN 특성은 PTR 호스트 이름을 기준으로 검사됩니다.
- 이전 검사가 하나도 성공하지 못하면 검증이 실패합니다.