Gmail отказался доверять самоподписанным сертификатам SSL

image

С 12 декабря 2012 года Gmail ужесточил требования к почтовым серверам, с которых осуществляется приём почтовых сообщений по POP3. Теперь все они обязаны иметь действующий сертификат SSL от центра сертификации, если пользователь в своих настройках Gmail указал обязательное использование SSL. Новые требования введены с целью улучшить безопасность.

Изменения коснутся многих пользователей, которые установили автоматический приём почты с другого почтового ящика в Gmail по POP3 с использованием SSL. С самоподписанным сертификатом теперь такой канал приёма сообщений с другого почтового сервера будет блокирован со стороны Gmail.

Чтобы разрешить приём почты в ящик Gmail с незащищённого сервера, пользователь может снять защиту с самого Gmail, то есть отключить опцию “Always use a secure connection (SSL)” в настройках, что ни в коем случае не рекомендуется делать.

Gmail отказывается признавать самоподписанные сертификаты SSL, а признаёт только сертификаты от центров сертификации, таких как Mozilla CA. На первый взгляд, это кажется логичным, потому что самоподписанные сертификаты без предварительного сохранения открытого ключа внутри интерфейса Gmail на самом деле не обеспечивают никакой защиты от подделки почтовых сообщений и атаки типа Man-in-The-Middle.

Доверять самоподписанным сертификатам можно было бы в том случае, если бы Gmail разрешил пользователю предварительно в настройках сайта сохранить открытый ключ стороннего почтового сервиса для проверки самоподписанного сертификата этого сервера. Такой метод обеспечил бы вполне надёжную защиту от атаки типа MiTM и подделки сертификатов. Но, по каким-то причинам разработчики Gmail пошли на более радикальный шаг и полностью отключили поддержку самоподписанных сертификатов.

Вопрос только в том, насколько можно доверять сертификатам от центров сертификации, ведь неоднократно говорилось об их уязвимостях, да в и вредоносное ПО часто подписано такими «авторитетными» сертификатами, что тоже намекает на недостаточную надёжность всей цепочки доверия. Другими словами, приём самоподписанных сертификатов с предварительной установкой открытого ключа в ручном режиме обеспечил бы бóльшую защиту, чем слепое доверие центрам сертификации.

Подробнее: http://www.xakep.ru/post/59813/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Gmail отказался доверять самоподписанным сертификатам SSL | | 2012-12-14 15:43:00 | | Статьи об Интернет безопасности | | С 12 декабря 2012 года Gmail ужесточил требования к почтовым серверам, с которых осуществляется приём почтовых сообщений по POP3. Теперь все они обязаны иметь действующий сертификат SSL от центра | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: