Коллеги!

Подскажите мне, пожалуйста, что я делаю не так или что мне нужно делать.

Я обнаружил одну удивительную, и главное, очень неприятную вещь.

Мой Thu работает с сервером по smtps. По идее, это вполне благоразумно, если я не хочу проблем с безопасностью.
Но, если на сервере изменить SSL-сертификат, то соединение продолжает устанавливаться, а Thu спокойненько, И ГЛАВНОЕ - МОЛЧА, продолжает работать.
Ему даже не приходит в голову как-то намекнуть мне про это весьма чреватое проблемами обстоятельство.

С cервером IMAPS - картина абсолютно аналогичная.

Иными словами, в нынешнюю эпоху "Шалтай-Болтаев" я не получу предупреждения об атаке "третий посередине". Что как-то неожиданно, странно и обидно.

Может быть, я что-то делаю не так? Но я не нашел нигде опции "запомнить сертификат сервера и каждый раз проверять", хотя это очень логично и совершенно не сложно.

Пожалуйста, подскажите, как получить желаемый результат.

Заранее признателен за содержательные ответы по сути заданного вопроса,

Ogogon.

Ogogon пишет

Но, если на сервере изменить SSL-сертификат, то соединение продолжает устанавливаться

Новый сертификат валидный или левый какой-то?

Dzirt пишет

Новый сертификат валидный или левый какой-то?

Не содержащий ошибок.

Тогда в чём проблема? Сервер предъявил новый сертификат - пусть и другой, но выданный на тот же домен. Совершенно нормальная ситуация. Зачем пользователя понапрасну пугать?

Ogogon пишет

Не содержащий ошибок.

Я не спрашивал есть в нем ошибки или нет, я задал другой вопрос. Но раз вам все равно - то и ладно, непонятно только зачем вы пришли на форум и замусориваете его бессмысленными сообщениями.

Dzirt пишет

Я не спрашивал есть в нем ошибки или нет, я задал другой вопрос. Но раз вам все равно - то и ладно, непонятно только зачем вы пришли на форум и замусориваете его бессмысленными сообщениями.

Я пришел на форум для того, чтобы получить ответ на свой вполне конкретный вопрос.
Ответ типа: "Это все ерунда, поскольку я без этого прекрасно обхожусь, а значит и никому это не надо" - это не ответ.
Скажите прямо, что Вы ответа не знаете, а еще лучше - не захламляйте тему, просто воздержитесь от ответа.

К сожалению, в последние годы это большая проблема русскоязычных форумов: знающих ответы на вопросы все меньше и меньше, а крикливых флеймеров, желающих самоутвердиться хамски комментируя заданный вопрос не по сути - целая тусовка.

Идея в общем-то полезная с учётом ущербности инфраструктуры сертификатов, но активная разработка TB практически прекращена. Сейчас только баги фиксятся.

yup пишет

Тогда в чём проблема? Сервер предъявил новый сертификат - пусть и другой, но выданный на тот же домен. Совершенно нормальная ситуация. Зачем пользователя понапрасну пугать?

Не могу с Вами согласиться. Если сертификат, непонятно с какой радости, сам собой поменялся, то это совершенно ненормальная ситуация. Это означает, что самое время "Караул!" кричать, как было сказано у бессметного классика.

Кстати, у такого SMTP/IMAP клиента, как "The Bat" такая опция есть - его пользователи от атаки "третий посередине" защищены.
За Мозиллу обидно.

07-02-2017 22:23:19

sentaus пишет

Идея в общем-то полезная с учётом ущербности инфраструктуры сертификатов, но активная разработка TB практически прекращена. Сейчас только баги фиксятся.

Час от часу не легче! И какая же перспектива?

Ogogon пишет

Если сертификат, непонятно с какой радости, сам собой поменялся, то это совершенно ненормальная ситуация.

Сам собой сертификат не меняется. Его либо подменяет какой-то вклинившийся шпион, либо меняют администраторы сервера. Причём второе - вполне обычное явление. Сертификат же не бессрочный, по истечении срока годности хочешь - не хочешь, а меняй. И по разным другим причинам тоже меняют (один мой знакомый у своего интернет-магазина за месяц три раза менял).

Ogogon пишет

Это означает, что самое время "Караул!" кричать, как было сказано у бессметного классика.

Кстати, у такого SMTP/IMAP клиента, как "The Bat" такая опция есть - его пользователи от атаки "третий посередине" защищены.

Если новый сертификат правильный, т.е. выдан кем надо кому надо, то "вовсе незачем так кричать". Откуда у рядового злоумышленника возьмётся правильный сертификат? (Случай нерядового рассматривать не будем - сертфикаты издателей налево уходят весьма нечасто и лишь бы против кого их не применяют.)

Ogogon пишет

За Мозиллу обидно.

Вот мозилловские программы как раз в отношении безопасности отличаются повышенной подозрительностью и склонностью при малейшем подозрении пользователя "не пущать".

Ogogon пишет

Я пришел на форум для того, чтобы получить ответ на свой вполне конкретный вопрос.

Вы пришли на форум для того, чтобы просто что-то написать. Если бы вы хотели получить ответ на свой вопрос, вы бы должны были хотя бы попытаться ответить на уточняющие/наводящие вопросы, а не писать очередную ахинею. Я вам напомню свой уточняющий вопрос и ваш ответ:

Dzirt пишет

Новый сертификат валидный или левый какой-то?

Ogogon пишет

Не содержащий ошибок.

Или у вас даже в голове не укладывается, что сертификат легко и просто может "не содержать ошибок" (быть создан по всем правилам), но тем не менее быть "не валидным" (самоподписанный/выданный левым центром сертификации/быть отозванным за нарушения и т.д. и т.п.)? Даже если это так, то в таком случае нужно не умничать, а отвечать на ПОСТАВЛЕННЫЙ вопрос, а не на какой-то свой, который вам роднее и понятнее.