Сам, подписался cerificate безопасный от человека в середине, после того как Вы приняли его
Можно объединить хосты KVM с технологией LVM. При установке всех машин на разделенном LV, с помощью Логического тома для каждой машины, можно создать горячее резервное копирование / снимки, использующие функции LVM. Похож на solaris ZFS снимок, попробуйте его ;)
Вам следует серьезно подумать о получении бесплатного сертификата SSL, если вы контролируете домен. Есть несколько бесплатных сертификатов.
«Принятый» сертификат в Thunderbird соединяет имя хоста, по которому вы ссылались на сервер, с отпечатком сертификата. Таким образом, атака MITM была бы практически невозможна без решения проблемы DL. Это предполагает, что вы выбрали разумную длину в битах (2048 или 4096 в наши дни; хотя аргументы могут быть и для 1024).
Ключи PKI полезны, только если у вас есть и закрытый, и открытый ключ. Да, новые предупреждения об ошибках сертификатов всегда следует рассматривать с особой внимательностью.
Неужели после того, как этот сертификат принят, невозможно атаковать человека посередине. Чтобы кто-то мог использовать этот общедоступный самоподписанный сертификат SSL, ему также нужен закрытый ключ, который хранится на почтовом сервере?
Это правильно. Злоумышленник не может притвориться удаленным сервером, если у него нет закрытого ключа, который соответствует тому, что использует клиент.
Остающиеся проблемы включают в себя перебор сертификата (в основном этого не произойдет), кражу закрытого ключа с сервера или использование уязвимости программного обеспечения (которая, вероятно, повлияет на «настоящие» сертификаты точно так же, как и самозаверяющие сертификаты).
Для проверки известного сертификата самозаверяющий сертификат, в котором вы уверены, когда принимаете его, также хорош как и все остальное. Цепочки PKI / подписи значительно упрощают распространение и отзыв, но не критичны для поддержания аутентификации ключа. Они просто помогают простоте и трассировке. Это важно для общественности и для крупных компаний. Если вы просто говорите о своем личном почтовом сервере, я делаю то же самое с самозаверяющим сертификатом.
Если вы доверяете исходному сертификату, импортированному в Thunderbird, то он будет использоваться для всех последующих подключений к серверу, соответствующих CN в сертификате.
Поскольку самоподписанный сертификат не перекрывается ни с чем, выданным общедоступным центром сертификации, есть ровно 2 случая, когда новый сертификат будет запрошен с (возможно, скомпрометированного или подделанного) сервера:
- срок действия сертификата истек или
- имя хоста не соответствует CN в сертификате
Второй случай может произойти раньше, чем вы думаете: если вы используете динамический IP и каким-то образом подключаетесь к IP, а не к имени хоста , не будет совпадать.