Jak mogę zweryfikować odciski palców certyfikatu?

8

Używam Gmaila z muttem na Imap. imaps://imap.gmail.com:993

Dzisiaj, kiedy uruchomiłem mutt, skłoniło mnie to do odrzucenia lub zaakceptowania certyfikatu. Zrzut ekranu:

q:Exit  ?:Help


This certificate belongs to:
   Google Internet Authority
   Google Inc

       US

This certificate was issued by:

   Equifax
   Equifax Secure Certificate Authority
       US

This certificate is valid
   from Wed, 12 Dec 2012 15:58:50 UTC
     to Tue, 31 Dec 2013 15:58:50 UTC
SHA1 Fingerprint: 5967 6E6B DD9F 4D9D DAE6 A15D 9DBC DF24 357C F776
MD5 Fingerprint: 5799 FA8E 83BC E022 0721 988A 0172 7ECB


-- Mutt: SSL Certificate check (certificate 1 of 2 in chain)
(r)eject, accept (o)nce, (a)ccept always

Jak mogę sprawdzić, czy to naprawdę właściwy certyfikat? Czy powinienem się upewnić, że odciski palców pasują?

djeikyb
źródło

Odpowiedzi:

3

możesz zweryfikować certyfikat, ale tylko porównując go z kopią znaną. zobacz tutaj przykład: http://kamivaniea.com/?p=507

Problem polega na tym, że skoro próbujesz zweryfikować certyfikat na gmail.com:443, i to właśnie tam otrzymałeś ten certyfikat, nie masz znanego dobrego certyfikatu do porównania.

Oto więcej informacji na temat pobierania odcisków palców certyfikatów: http://en.wikipedia.org/wiki/Public_key_fingerprint

Z mojego doświadczenia wynika, że ​​kiedy zezwalasz na certyfikat, najlepszym rozwiązaniem jest upewnienie się, że masz dostęp do poprawnego adresu serwera. a następnie po zaimportowaniu, jeśli przypadkowo dotkniesz palcem adres URL, zostaniesz poinformowany, że przedstawiony certyfikat nie pasuje do wersji z pamięci podręcznej i że Twoja komunikacja może nie być bezpieczna.

Frank Thomas
źródło
1
Idealnie byłoby, gdyby Google opublikował odciski palców dla swoich różnych odcisków palców. Mam wrażenie, że jeśli kliknę przycisk Akceptuję, ślepo ufam temu certyfikatowi, ponieważ nie wiem, gdzie uzyskać dostęp do znanej legalnej kopii.
djeikyb
Ponadto, skoro cert twierdzi, że ma być wydany przez Equifax, czy istnieje sposób, aby zweryfikować, że zamiast odcisków palców dla imap Gmaila?
djeikyb