Wie kann ich die Fingerabdrücke eines Zertifikats überprüfen?

8

Ich benutze Google Mail mit Mutt über IMAP. imaps://imap.gmail.com:993

Als ich heute mutt startete, wurde ich aufgefordert, ein Zertifikat abzulehnen oder zu akzeptieren. Bildschirmfoto:

q:Exit  ?:Help


This certificate belongs to:
   Google Internet Authority
   Google Inc

       US

This certificate was issued by:

   Equifax
   Equifax Secure Certificate Authority
       US

This certificate is valid
   from Wed, 12 Dec 2012 15:58:50 UTC
     to Tue, 31 Dec 2013 15:58:50 UTC
SHA1 Fingerprint: 5967 6E6B DD9F 4D9D DAE6 A15D 9DBC DF24 357C F776
MD5 Fingerprint: 5799 FA8E 83BC E022 0721 988A 0172 7ECB


-- Mutt: SSL Certificate check (certificate 1 of 2 in chain)
(r)eject, accept (o)nce, (a)ccept always

Wie kann ich überprüfen, ob dies wirklich das richtige Zertifikat ist? Sollte ich sicherstellen, dass die Fingerabdrücke übereinstimmen?

djeikyb
quelle

Antworten:

3

Sie können das Zertifikat überprüfen, jedoch nur, indem Sie es mit einer Kopie mit bekannter Berechtigung vergleichen. siehe hier für ein Beispiel: http://kamivaniea.com/?p=507

Das Problem hierbei ist, dass Sie, da Sie versuchen, das Zertifikat auf gmail.com:443 zu validieren, und an dieser Stelle dieses Zertifikat erhalten haben, nicht über ein bekanntermaßen gutes Zertifikat verfügen, mit dem Sie es vergleichen können.

Hier noch ein paar Infos zum cert Fingerprinting: http://en.wikipedia.org/wiki/Public_key_fingerprint

Ich habe die Erfahrung gemacht, dass es das Beste ist, wenn Sie ein Zertifikat zulassen, sicherzustellen, dass Sie auf die richtige Serveradresse zugreifen. Wenn Sie dann einmal die URL importiert haben, werden Sie darauf hingewiesen, dass das angezeigte Zertifikat nicht mit der zwischengespeicherten Version übereinstimmt und Ihre Kommunikation möglicherweise nicht sicher ist.

Frank Thomas
quelle
1
Im Idealfall veröffentlicht Google die Fingerabdrücke für die verschiedenen Fingerabdrücke. Wenn ich auf "Akzeptieren" klicke, vertraue ich diesem Zertifikat blindlings, da ich nicht weiß, wo ich auf eine bekannte legitime Kopie zugreifen kann.
djeikyb
Gibt es auch eine Möglichkeit, dies zu überprüfen, da das Zertifikat von Equifax ausgestellt werden soll, anstatt die Fingerabdrücke für den Imap von Google Mail zu überprüfen?
djeikyb