Utilizzare i certificati TLS per il trasporto sicuro

Puoi utilizzare i certificati TLS (Transport Layer Security) per criptare la posta degli utenti al fine di recapitarla in modo sicuro, in entrata e in uscita.

Come accedere ai certificati TLS

Puoi accedere ai certificati TLS (Transport Layer Security) in entrata e in uscita in uno dei due modi seguenti:

  • Esegui questo comando:
    openssl s_client -starttls smtp -connect [nome host]:25 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
  • Utilizza il seguente snippet di Python:
    import smtplib
    import ssl

    connection = smtplib.SMTP()
    connection.connect('[nome host].')
    connection.starttls()
    print(ssl.DER_cert_to_PEM_cert(connection.sock.getpeercert(binary_form=True)))

Per [nome host], utilizza il valore corretto tra quelli indicati di seguito:

  • SMTP in entrata: aspmx.l.google.com
  • In uscita (inoltro SMTP): smtp-relay.gmail.com
  • In uscita (MSA): smtp.gmail.com

Altri modi per accedere ai certificati TLS

Per individuare altri metodi per accedere ai certificati, esegui una ricerca web per l'estrazione del certificato dal server TLS.

Tieni presenti queste linee guida sui certificati TLS:

  • I certificati sono firmati da GlobalSign R2 CA (GS Root R2)
  • Come minimo, considera attendibili i certificati indicati in https://pki.goog/roots.pem.
  • I certificati vengono condivisi fra i diversi host.
  • Ogni insieme di certificati ha una data di scadenza. I nuovi certificati vengono introdotti a rotazione prima di tale data; durante la loro implementazione è possibile scegliere di utilizzare per la connessione sia i nuovi certificati sia quelli precedenti.
  • Per la comunicazione tra client e server di Gmail, i messaggi sono criptati su una connessione HTTPS con crittografia a 128 bit, tramite TLS 1.2. La connessione è criptata e autenticata tramite AES_128_GCM. Il meccanismo utilizzato per lo scambio di chiavi è ECDHE_RSA.

  • La comunicazione tra i client e i server Gmail e non Gmail è supportata mediante SSL3 attraverso TLS1.2; il client sceglie da un elenco di crittografie, scambio di chiavi e lunghezze in bit.

  • I bit supportati sono 112/168 per DES, 128 per RC4 e 128 o 256 per AES (Advanced Encryption Standard).

Argomenti correlati

È stato utile?
Come possiamo migliorare l'articolo?

Hai bisogno di ulteriore assistenza?

Accedi per scoprire altre opzioni di assistenza che ti consentiranno di risolvere rapidamente il tuo problema