Author Topic: Проверка SSL сертификата на валидность  (Read 5974 times)

DrDeimos

  • Newbie
  • *
  • Posts: 3
Здравствуйте.
При использовании AquaMail вместе с google почтой периодически появляется сообщение о смене SSL сертификата на.

Информирован е пользователя о смене сертификата конечно вещь хорошая, но далеко  не каждый поймёт подменили ему сертификат или нет.
В окне выводятся только данные полей сертификата вроде CN, O, L и т.д. но что будет если пользователю подсунут self-signed сертификат с такими же значениями полей?

Проверяется ли сертификат на валидность?

Пример такой проверки с помощью openssl на linux:

Quote
drdeimos@UbuSSD ~ $ echo test | openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -showcerts -connect imap.gmail.com:993 -servername imap.gmail.com 2>&1 |grep Verify
    Verify return code: 0 (ok)



P.S. Простите что консольный выхлоп не тегом кода, но форум считает что любой code это external link недопустимый для пользователя

DrDeimos

  • Newbie
  • *
  • Posts: 3
Re: Проверка SSL сертификата на валидность
« Reply #1 on: January 10, 2017, 07:39:21 am »
Пример self-signed сертификата
Quote
drdeimos@UbuSSD ~ $ echo test | openssl s_client -CAfile /etc/ssl/certs/ca-certificates.crt -showcerts -connect joyreactor.cc:443 -servername joyreactor.cc 2>&1| grep Verify
    Verify return code: 18 (self signed certificate)

Kostya Vasilyev

  • Hero Member
  • *****
  • Posts: 12740
Re: Проверка SSL сертификата на валидность
« Reply #2 on: January 10, 2017, 09:37:04 pm »
Re: Проверяется ли сертификат на валидность?

Зависит от того используется ли вид шифрования "строгое" или "принимать любой" в настройках серверов для данной учётной записи. Если "строгое", то выполняется обычная проверка, "chain of trust". Если же Вам пришлось выбирать "принимать любой", то соответственно, нет.

Да, и эта проверка происходит *до* проверки на изменение сертификата.

И последнее, проверка сертификата (chain of trust, CA) и функция "уведомлять об изменениях" работают вместе, но независимо, они не являются заменой друг друга и решают разные проблемы.
Creating debug logs for diagnostics: https://www.aqua-mail.com/troubleshooting/

The official FAQ: https://www.aqua-mail.com/faq/

Лог-файлы для диагностики: https://www.aqua-mail.com/ru/troubleshooting/

Вопросы и ответы: https://www.aqua-mail.com/ru/faq/

DrDeimos

  • Newbie
  • *
  • Posts: 3
Re: Проверка SSL сертификата на валидность
« Reply #3 on: January 16, 2017, 09:14:32 am »
Спасибо за разъяснения.