Проверка SSL сертификата на валидность

[DrDeimos]

Здравствуйте.
При использовании AquaMail вместе с google почтой периодически появляется сообщение о смене SSL сертификата на.

Информирован е пользователя о смене сертификата конечно вещь хорошая, но далеко  не каждый поймёт подменили ему сертификат или нет.
В окне выводятся только данные полей сертификата вроде CN, O, L и т.д. но что будет если пользователю подсунут self-signed сертификат с такими же значениями полей?

Проверяется ли сертификат на валидность?

Пример такой проверки с помощью openssl на linux:

drdeimos@UbuSSD ~ $ echo test | openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -showcerts -connect imap.gmail.com:993 -servername imap.gmail.com 2>&1 |grep Verify
    Verify return code: 0 (ok)

P.S. Простите что консольный выхлоп не тегом кода, но форум считает что любой code это external link недопустимый для пользователя

[DrDeimos]

Пример self-signed сертификата

drdeimos@UbuSSD ~ $ echo test | openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -showcerts -connect joyreactor.cc:443 -servername joyreactor.cc 2>&1| grep Verify
    Verify return code: 18 (self signed certificate)

[Kostya Vasilyev]

Re: Проверяется ли сертификат на валидность?

Зависит от того используется ли вид шифрования "строгое" или "принимать любой" в настройках серверов для данной учётной записи. Если "строгое", то выполняется обычная проверка, "chain of trust". Если же Вам пришлось выбирать "принимать любой", то соответственно, нет.

Да, и эта проверка происходит *до* проверки на изменение сертификата.

И последнее, проверка сертификата (chain of trust, CA) и функция "уведомлять об изменениях" работают вместе, но независимо, они не являются заменой друг друга и решают разные проблемы.

[DrDeimos]

Спасибо за разъяснения.