Apple's Mail menunjukkan “identitas smtp.gmail.com tidak dapat diverifikasi”

18

Saat mencoba mengirim email menggunakan Gmail di OS X Mail, saya mendapatkan:

Identitas "smtp.gmail.com" tidak dapat diverifikasi.

Sertifikat untuk server ini tidak valid. Anda mungkin terhubung ke server yang berpura-pura menjadi "smtp.gmail.com" yang dapat membahayakan informasi rahasia Anda. Apakah Anda ingin tetap terhubung ke server?

Apa yang harus dilakukan?

Arjan
sumber
3
Ini juga bukan pertama kalinya: seroundtable.com/archives/017825.html
Antoine Jaussoin
1
Dan sekarang harus diperbaiki: google.com/...
Arjan

Jawaban:

22

Dalam hal ini (4 April 2015), Anda dapat mengklik "Hubungkan" dengan aman. Namun secara umum peringatan seperti itu tidak boleh diabaikan. Inilah cara Anda dapat menyelidiki kejadian peringatan seperti itu di masa mendatang:

Mengklik "Tampilkan Sertifikat" dan kemudian memilih "Google Internet Authority G2" ditampilkan untuk kejadian ini:

Google Internet Authority G2 Otoritas
sertifikat menengah
Kedaluwarsa: Sabtu 4 April 2015 17:15:55 Waktu Musim Panas Eropa Tengah
Sertifikat ini telah kedaluwarsa

Dan untuk "smtp.gmail.com":

smtp.gmail.com
Dikeluarkan oleh: Google Internet Authority G2
Kedaluwarsa: Kamis 31 Desember 2015 1:00:00 Waktu Standar Eropa Tengah
Sertifikat ini memiliki penerbit yang tidak valid

Jadi, sertifikat untuk Gmail masih bagus, tetapi "penerbit perantara" yang digunakan untuk membuatnya tidak bertahan selama sertifikat Gmail. Itu kesalahan di Google; sementara itu mereka telah menginstal sertifikat baru di smtp.gmail.com yang menggunakan sertifikat penerbit berbeda. Namun, karena ini tepercaya hingga beberapa jam sebelum masalah dimulai pada April 2015 (dan dengan asumsi Anda menggunakannya sebelumnya, ketika semuanya baik-baik saja), aman untuk memilih "Sambungkan".

Arjan
sumber
3
Nah, pada prinsipnya fakta bahwa perantara sudah ketinggalan zaman berarti bahwa orang yang berhati-hati tidak akan lagi berharap langsung bahwa kuncinya tidak dapat dipecahkan oleh penyerang yang menggunakan brute-force selama beberapa tahun. Penyerang seperti itu dapat dengan mudah memalsukan sertifikat smtp.gmailcom yang Anda lihat. Tentu saja asumsi bahwa penyerang seperti itu berhasil tepat pada saat ekspirasi tidak berdasar. Namun, Google seharusnya memeriksa jadwal kedaluwarsa sertifikat mereka - mendorong pengguna untuk mengabaikan peringatan keamanan (meskipun ok dalam hal ini) mendidik mereka ke arah yang salah!
Hagen von Eitzen
@Hagen, rantai sertifikat masih valid; hanya tanggalnya yang mati. (Tapi saya sudah menekankan bahwa mengklik Connect baik-baik saja hari ini .)
Arjan
1
Ya, saya seharusnya mengatakan "tidak dipercaya" alih-alih "tidak valid". Tentu saja proses pengaturan tanggal kedaluwarsa dilaksanakan dengan margin keamanan yang cukup untuk memungkinkan penerimaan "sesaat" di luar tanggal kedaluwarsa. Kemudian lagi, Google tidak perlu repot menambahkan sertifikat ke CRL jika mereka mengetahui sekarang bahwa kuncinya secara eksplisit dikompromikan. Karenanya jaring pengaman CRL dihapus setelah kedaluwarsa
Hagen von Eitzen
(Sangat setuju, @Hagen.)
Arjan
3
Perlu diingat bahwa sertifikat yang kedaluwarsa tidak tercantum dalam CRL (daftar pencabutan sertifikat). Oleh karena itu, jika Google sebelumnya telah mencabut sertifikat "Google Internet Authority G2", setelah masa berlaku sertifikat berakhir, Anda tidak lagi perlu mengetahui tentang pencabutan, karena pencabutan tidak akan berada di CRL setelah waktu itu. Ini dengan asumsi bahwa sertifikat yang kadaluwarsa tidak valid, jadi memiliki mereka di CRL akan menyatakan yang sudah jelas.
CVn
9

Google mengirim email ke mereka yang berlangganan peringatan:

Google Apps for Business

Status: Gangguan layanan

Kami berharap dapat menyelesaikan masalah yang mempengaruhi mayoritas pengguna Gmail pada 4 April 2015, 1:00:00 PM PDT. Harap perhatikan bahwa kerangka waktu ini adalah perkiraan dan dapat berubah.

smtp.gmail.com menampilkan sertifikat yang tidak valid.

4 April 2015 11:58:00 PDT

Faiyaz Ahmed
sumber