Почта Apple, показывающая «личность smtp.gmail.com не может быть подтверждена»

18

При попытке отправить письмо с помощью Gmail в OS X Mail, я получаю:

Идентификация smtp.gmail.com не может быть подтверждена.

Сертификат для этого сервера недействителен. Возможно, вы подключаетесь к серверу, который притворяется «smtp.gmail.com», что может поставить под угрозу вашу конфиденциальную информацию. Вы все равно хотите подключиться к серверу?

Что делать?

Арьян
источник
3
Это также не первый раз: seroundtable.com/archives/017825.html
Антуан Жассойн,
1
И к настоящему времени должны быть исправлены: google.com/…
Арджан

Ответы:

22

В этом случае (4 апреля 2015 года) вы можете смело нажимать «Подключиться». Но в целом такие предупреждения не следует игнорировать. Вот как вы можете расследовать появление таких предупреждений в будущем:

Нажав «Показать сертификат», а затем выбрав «Google Internet Authority G2», показал для этого инцидента:

Google Internet Authority G2
Промежуточный
центр сертификации. Срок действия истек : суббота, 4 апреля 2015 г. 17:15:55 Центральноевропейское летнее время Срок действия
этого сертификата истек

А для "smtp.gmail.com":

smtp.gmail.com
Выдано: Google Internet Authority G2
Срок действия истекает: четверг 31 декабря 2015 1:00:00 Центральноевропейское стандартное время
Этот сертификат имеет недопустимого эмитента

Таким образом, сертификат для Gmail все еще был хорош, но «промежуточный издатель», который использовался для его создания, не длился так долго, как сертификат Gmail. Это была ошибка в Google; тем временем они установили новый сертификат на smtp.gmail.com, который использует другой сертификат эмитента. Однако, поскольку этому доверяли, пока за несколько часов до того, как проблема не началась в апреле 2015 года (и при условии, что вы использовали ее раньше, когда все было хорошо), тогда было безопасно выбрать «Подключиться».

Арьян
источник
3
Что ж, в принципе, тот факт, что промежуточное звено устарело, означает, что осторожный человек больше не будет сразу ожидать, что его ключ не может быть взломан злоумышленником, использующим грубую силу в течение пары лет. Такой злоумышленник мог легко подделать сертификат smtp.gmailcom, который вы видите. Конечно, предположение, что такой злоумышленник преуспевает именно в таких эмоциях, необоснованно. Тем не менее, Google следовало проверить график истечения срока действия их сертификатов - поощряя пользователей игнорировать предупреждения системы безопасности (хотя в данном случае это нормально), что указывает им неправильное направление!
Хаген фон Айцен
@Hagen, цепочка сертификатов все еще действует; только даты отменены. (Но я подчеркнул, что щелкнуть «Соединение» сегодня хорошо .)
Арджан,
1
Да, я должен был сказать «не доверяют» вместо «недействительно». Конечно, процесс установки дат истечения срока действия выполняется с достаточным запасом прочности, чтобы позволить принятие «вскоре» после даты истечения срока действия. Опять же , Google не придется даже беспокоиться добавлением сертификата в CRL , если они случились , чтобы узнать прямо сейчас , что ключ был явно нарушен. Следовательно, по истечении срока действия защитная сеть CRL удаляется
Хаген фон Айцен
(Очень согласен, @Hagen.)
Арджан
3
Имейте в виду, что сертификаты с истекшим сроком действия не перечислены ни в одном CRL (списки отзыва сертификатов). Следовательно, если ранее Google аннулировал сертификат «Google Internet Authority G2», по истечении времени окончания действия сертификата вы больше не будете обязательно знать об отзыве, так как после этого отзыва отзыв не будет в CRL. Это при условии, что сертификаты с истекшим сроком действия являются недействительными в любом случае, поэтому наличие их в CRL будет свидетельствовать об очевидном.
CVn
9

Google отправил электронное письмо тем, кто подписан на оповещения:

Google Apps для бизнеса

Статус: нарушение обслуживания

Мы рассчитываем решить проблему, затрагивающую большинство пользователей Gmail, 4 апреля 2015 г., 13:00 по PDT. Обратите внимание, что этот период времени является приблизительным и может измениться.

smtp.gmail.com отображает недействительный сертификат.

4 апреля 2015 г. 11:58:00 по тихоокеанскому времени

Файяз Ахмед
источник