Apples Mail mit dem Hinweis "Die Identität von smtp.gmail.com kann nicht überprüft werden"

18

Beim Versuch, E-Mails mit Google Mail in OS X Mail zu senden, erhalte ich Folgendes:

Die Identität von "smtp.gmail.com" kann nicht überprüft werden.

Das Zertifikat für diesen Server ist ungültig. Möglicherweise stellen Sie eine Verbindung zu einem Server her, der vorgibt, "smtp.gmail.com" zu sein, wodurch Ihre vertraulichen Informationen gefährdet werden könnten. Möchten Sie trotzdem eine Verbindung zum Server herstellen?

Was ist zu tun?

Arjan
quelle
3
Dies ist auch nicht das erste Mal: seroundtable.com/archives/017825.html
Antoine Jaussoin
1
Und jetzt sollte behoben sein: google.com/…
Arjan

Antworten:

22

In diesem Fall (4. April 2015) können Sie sicher auf "Verbinden" klicken. Im Allgemeinen sollten solche Warnungen jedoch nicht ignoriert werden. So können Sie zukünftige Vorkommen solcher Warnungen untersuchen:

Klicken Sie auf "Zertifikat anzeigen" und wählen Sie dann "Google Internet Authority G2" aus, das für diesen Vorfall angezeigt wird:

Google Internet Authority G2
Fortgeschrittene Zertifizierungsstelle
Abgelaufen: Samstag, 4. April 2015, 17:15:55 Uhr Central European Summer Time
Dieses Zertifikat ist abgelaufen

Und für "smtp.gmail.com":

smtp.gmail.com
Ausgestellt von: Google Internet Authority G2
Gültig bis: Donnerstag, 31. Dezember 2015, 1:00:00 Uhr MEZ
Dieses Zertifikat hat einen ungültigen Aussteller

Das Zertifikat für Google Mail war also immer noch gut, aber der "Zwischenaussteller", mit dem es erstellt wurde, hielt nicht so lange wie das Zertifikat für Google Mail. Das war ein Fehler bei Google; Inzwischen haben sie ein neues Zertifikat auf smtp.gmail.com installiert, das ein anderes Ausstellerzertifikat verwendet. Da dies jedoch bis einige Stunden vor dem Beginn des Problems im April 2015 vertraut wurde (und vorausgesetzt, Sie haben es zuvor verwendet, wenn alles in Ordnung war), war es sicher, "Verbinden" auszuwählen.

Arjan
quelle
3
Nun, im Prinzip bedeutet die Tatsache, dass die Zwischenstufe veraltet ist, dass eine vorsichtige Person nicht mehr sofort erwarten würde, dass ihr Schlüssel von einem Angreifer, der Brute-Force für ein paar Jahre einsetzt, nicht gebrochen werden konnte. Ein solcher Angreifer hätte leicht das angezeigte Zertifikat smtp.gmailcom fälschen können. Natürlich ist die Annahme, dass ein solcher Angreifer genau zum Zeitpunkt seines Ablaufs erfolgreich ist, unbegründet. Trotzdem sollte Google den Ablaufplan für Zertifikate überprüft haben. Wenn Nutzer dazu aufgefordert werden, Sicherheitswarnungen zu ignorieren (obwohl dies in diesem Fall in Ordnung ist), werden sie in die falsche Richtung gelehrt!
Hagen von Eitzen
@Hagen, die Zertifikatskette ist noch gültig; Nur die Daten sind aus. (Aber ich habe betont, dass das Klicken auf Verbinden heute in Ordnung ist .)
Arjan
1
Ja, ich hätte "nicht vertrauenswürdig" statt "ungültig" sagen sollen. Natürlich wird der Vorgang des Festlegens von Ablaufdaten mit einer ausreichenden Sicherheitsmarge ausgeführt, um die Annahme "kurz" nach Ablaufdatum zu ermöglichen. Andererseits muss sich Google nicht einmal die Mühe machen, das Zertifikat einer CRL hinzuzufügen, wenn sie erfahren, dass der Schlüssel jetzt explizit kompromittiert wurde. Daher wird das CRL-Sicherheitsnetz nach Ablauf entfernt
Hagen von Eitzen,
(Sehr einverstanden, @Hagen.)
Arjan
3
Beachten Sie, dass abgelaufene Zertifikate nicht in CRLs (Zertifikatsperrlisten) aufgeführt sind. Daher , wenn zuvor Google das „Google Internet Authority G2“ Zertifikat widerrufen hatte, sobald das Zertifikat Gültigkeitsende Zeit vergangen ist , würden Sie nicht unbedingt wissen mehr über den Widerruf, da der Widerruf nicht in der CRL nach dieser Zeit sein wird. Dies setzt voraus, dass abgelaufene Zertifikate ohnehin ungültig sind. Daher wäre es naheliegend, sie in der CRL zu haben.
ein Lebenslauf
9

Google hat eine E-Mail an die Abonnenten von Benachrichtigungen gesendet:

Google Apps for Business

Status: Betriebsstörung

Wir gehen davon aus, dass das Problem, von dem die meisten Nutzer von Google Mail betroffen sind, am 4. April 2015, 13:00:00 Uhr (PDT) behoben werden kann. Bitte beachten Sie, dass dieser Zeitrahmen eine Schätzung ist und sich ändern kann.

smtp.gmail.com zeigt ein ungültiges Zertifikat an.

4. April 2015 11:58:00 PDT

Faiyaz Ahmed
quelle