Mail firmy Apple z informacją „nie można zweryfikować tożsamości witryny smtp.gmail.com”

18

Podczas próby wysłania wiadomości e-mail za pomocą Gmaila w systemie OS X Mail otrzymuję:

Tożsamości „smtp.gmail.com” nie można zweryfikować.

Certyfikat dla tego serwera jest nieprawidłowy. Być może łączysz się z serwerem, który udaje „smtp.gmail.com”, co może narazić Twoje poufne informacje na niebezpieczeństwo. Czy mimo to chcesz połączyć się z serwerem?

Co robić?

gmail certificate apple-mail Arjan
źródło
3
To nie pierwszy raz: seroundtable.com/archives/017825.html
Antoine Jaussoin
1
I do tej pory powinno zostać naprawione: google.com/…
Arjan

Odpowiedzi:

22

W takim przypadku (4 kwietnia 2015 r.) Możesz bezpiecznie kliknąć „Połącz”. Ale ogólnie takie ostrzeżenia nie powinny być ignorowane. Oto, jak możesz zbadać przyszłe wystąpienia takich ostrzeżeń:

Kliknięcie „Pokaż certyfikat”, a następnie „Google Internet Authority G2” pokazało to incydent:

Google Internet Authority G2
Pośredni urząd certyfikacji
Wygasł: sobota 4 kwietnia 2015 17:15:55 Czas środkowoeuropejski letni
Ten certyfikat wygasł

A dla „smtp.gmail.com”:

smtp.gmail.com
Wydany przez: Google Internet Authority G2
Wygasa: czwartek 31 grudnia 2015 1:00:00 Czas środkowoeuropejski standardowy
Ten certyfikat ma nieważnego wystawcę

Tak więc certyfikat Gmaila był nadal dobry, ale „pośredni wystawca”, którego użyto do jego utworzenia, nie trwał tak długo, jak certyfikat Gmaila. To był błąd w Google; tymczasem zainstalowali nowy certyfikat na smtp.gmail.com, który używa innego certyfikatu wystawcy. Ponieważ jednak zaufano temu na kilka godzin przed wystąpieniem problemu w kwietniu 2015 r. (I zakładając, że używałeś go wcześniej, kiedy wszystko było w porządku), można było bezpiecznie wybrać opcję „Połącz”.

Arjan
źródło
3
Cóż, w zasadzie fakt, że półprodukt jest przestarzały, oznacza, że ​​ostrożna osoba nie spodziewałaby się od razu, że jej klucz nie mógłby zostać złamany przez napastnika stosującego brutalną siłę przez kilka lat. Taki atakujący mógłby łatwo sfałszować certyfikat smtp.gmailcom, który widzisz. Oczywiście założenie, że takiemu atakującemu udaje się dokładnie w chwili wygaśnięcia, jest bezpodstawne. Mimo to Google powinien był sprawdzić harmonogram wygaśnięcia certyfikatów - zachęcanie użytkowników do ignorowania ostrzeżeń dotyczących bezpieczeństwa (choć w tym przypadku jest to w porządku) uczy ich w złym kierunku!
Hagen von Eitzen
@Hagen, łańcuch certyfikatów jest nadal ważny; tylko daty są wyłączone. (Ale podkreśliłem, że kliknięcie Connect jest dzisiaj w porządku .)
Arjan
1
Tak, powinienem był powiedzieć „nieufny” zamiast „nieważny”. Oczywiście proces ustalania dat ważności jest wykonywany z wystarczającym marginesem bezpieczeństwa, aby umożliwić akceptację „wkrótce” po upływie daty ważności. Z drugiej strony Google nie będzie musiał nawet zawracać sobie głowy dodawaniem certyfikatu do listy CRL, jeśli akurat dowiedzą się, że klucz został wyraźnie naruszony. Dlatego siatka bezpieczeństwa CRL jest usuwana po wygaśnięciu
Hagen von Eitzen
(Bardzo się zgadzam, @Hagen.)
Arjan
3
Należy pamiętać, że wygasłe certyfikaty nie są wymienione w żadnej liście CRL (listy odwołania certyfikatów). Dlatego jeśli Google wcześniej cofnął certyfikat „Google Internet Authority G2”, po upływie czasu zakończenia ważności certyfikatu niekoniecznie musiałbyś wiedzieć o odwołaniu, ponieważ odwołanie nie będzie po tym czasie w liście CRL. Zakłada się, że i tak wygasłe certyfikaty są nieważne, więc umieszczenie ich w liście CRL byłoby oczywiste.
CVn
9

Google wysłał wiadomość e-mail do osób subskrybujących powiadomienia:

Google Apps dla Firm

Status: Zakłócenie usługi

Oczekujemy, że problem dotyczący większości użytkowników Gmaila zostanie rozwiązany 4 kwietnia 2015 r., Godz. 13.00 czasu PDT. Pamiętaj, że ten przedział czasowy jest wartością szacunkową i może ulec zmianie.

smtp.gmail.com wyświetla nieprawidłowy certyfikat.

4 kwietnia 2015 11:58:00 PDT

Faiyaz Ahmed
źródło