CityCat4

Сертификат - это не магическая кнопка, делающая все вокруг безопасным, а просто инструмент. Ну допустим нож. Вы можете сделать его сами, а можете купить у известной конторы. Но он не перестанет быть просто ножом и, если не уметь им пользоваться, толку от него не будет. Собственный УЦ - это бесплатно. И, как правило, все приходят к этому, когда число сертификатов растет, а число корреспондентов ограничено. Они просто ставят Ваш корневой сертификат - и вуаля.

Итак, судя по тому, что никто не ответил - никто не знает. Значит отвечаю сам себе - вдруг кому понадобится.

Итак, такой функционал есть. Но есть он только в sendmail 8.15.2, и то при ее отдельной пересборке с параметром _FFR_TLS_SE_OPTS_.

Пересборку пока сделал только на FreeBSD (по старой памяти :) ) - в порту mail/sendmail файл files/site.config.m4.tls, первую строку привести к вот такому виду

APPENDDEF(`conf_sendmail_ENVDEF', `-DSTARTTLS -D_FFR_TLS_EC -D_FFR_TLS_SE_OPTS')

и пересобрать, выполнив потом все рекомендации по установке. Для настройки используется файл /etc/mail/access, где прописывается

TLS_Clt_features:server.net       CipherList=kEECDH+AES:kEDH+AES:kRSA+AES:DES-CBC3-SHA:!aNULL:!DSS:!SSLv2;

И все соединения с server.net будут использовать шифр DES-CBC3-SHA, даже если он отсутствует в глобальном CipherList. Также здесь можно прописывать опции SSL, все это изложено в README.

О сборке в центосе допишу отдельно.

Потому что сайт частично https, частично http. О чем Firefox например честно предупреждает, когда на него заходишь.

Публичный ключ не обязательно должен иметь расширение .pub. Это досовское зло - считать, что тип файла зависит от расширения. Сертификат состоит из двух файлов - ключа сертификата, который обычно имеет расширение .key, но может иметь любое другое или не иметь никакого вообще и собственно сертфиката, называемого еще публичным ключом. Вот он как раз и хранится в файле .crt. А в файле .pem скорее всего лежит тот же сертификат, только кроме кодированной части там приведена еще и "human-readable", то есть читаемая человеком. Переименовываете .crt или .pem в .pub - и будет Вам счастье.

Здесь не один вопрос, а целых...три
1. Зачем мне https
2. Почему самоподписанный сертификат небезопасен
3. Чем отличается самоподписанный сертификат от выданного доверенной организацией
Итак.
1. https, нужны только для того, чтобы хром не зажигал красный флажок (последние версии уже начали маркировать такие сайты) - это что-то типа установки Windows 10 pre-alpha - круто, потому что новое. Если шифровать нечего - не шифруйте и пофиг на флажок. Если сайт продающий и пофиг быть не может - убейте жабу и купите сертификат от УЦ. Влезть на елку и не поцарапать попу не получится
2. Самоподписанный сертификат небезопасен потому что никто не гарантирует правдивость данных, которые в нем. Это все равно что взять бумажку и написать на ней "Паспорт" - написать никто не мешает. Верить никто не будет. Чтобы такому сертификату начали верить, он должен быть добавлен в хранилище корневых сертификатов - причем на всех компьютерах, которые будут на него заходить. Вот поэтому, если сайт продающий и Вы даже о флажке так печетесь - как будете обьяснять юзеру, чтобы он скачал себе Ваш сертификат и добавил его в корневые? Тем более, что например на Windows Mobile это сделать в принципе нельзя (на нерутованной)
3. Сертификат выданный доверенной организацией отличается тем, что сертификат самой организации уже добавлен во все хранилища всех браузеров - и все сертификаты, выданные ею, считаются доверенными. В этом и заключается опасность бесплатных раздатчиков сертификатов - из сертификата может либо не оказаться, либо он будет "подозрительным". Еще раз - если сайт продающий - убейте жабу и купите нормальный сертификат от нормального УЦ. Экономия на бесплатных сертификатах может выйти боком.