AquaMail Forum
На Русском языке => Предложения что-либо добавить => Topic started by: DrDeimos on January 10, 2017, 07:36:58 am
-
Здравствуйте.
При использовании AquaMail вместе с google почтой периодически появляется сообщение о смене SSL сертификата на.
Информирован е пользователя о смене сертификата конечно вещь хорошая, но далеко не каждый поймёт подменили ему сертификат или нет.
В окне выводятся только данные полей сертификата вроде CN, O, L и т.д. но что будет если пользователю подсунут self-signed сертификат с такими же значениями полей?
Проверяется ли сертификат на валидность?
Пример такой проверки с помощью openssl на linux:
drdeimos@UbuSSD ~ $ echo test | openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -showcerts -connect imap.gmail.com:993 -servername imap.gmail.com 2>&1 |grep Verify
Verify return code: 0 (ok)
P.S. Простите что консольный выхлоп не тегом кода, но форум считает что любой code это external link недопустимый для пользователя
-
Пример self-signed сертификата
drdeimos@UbuSSD ~ $ echo test | openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -showcerts -connect joyreactor.cc:443 -servername joyreactor.cc 2>&1| grep Verify
Verify return code: 18 (self signed certificate)
-
Re: Проверяется ли сертификат на валидность?
Зависит от того используется ли вид шифрования "строгое" или "принимать любой" в настройках серверов для данной учётной записи. Если "строгое", то выполняется обычная проверка, "chain of trust". Если же Вам пришлось выбирать "принимать любой", то соответственно, нет.
Да, и эта проверка происходит *до* проверки на изменение сертификата.
И последнее, проверка сертификата (chain of trust, CA) и функция "уведомлять об изменениях" работают вместе, но независимо, они не являются заменой друг друга и решают разные проблемы.
-
Спасибо за разъяснения.