С 12 декабря 2012 года Gmail ужесточил требования к почтовым серверам, с которых осуществляется приём почтовых сообщений по POP3. Теперь все они обязаны иметь действующий сертификат SSL от центра сертификации, если пользователь в своих настройках Gmail указал обязательное использование SSL. Новые требования введены с целью улучшить безопасность.

Изменения коснутся многих пользователей, которые установили автоматический приём почты с другого почтового ящика в Gmail по POP3 с использованием SSL. С самоподписанным сертификатом теперь такой канал приёма сообщений с другого почтового сервера будет блокирован со стороны Gmail.

Чтобы разрешить приём почты в ящик Gmail с незащищённого сервера, пользователь может снять защиту с самого Gmail, то есть отключить опцию “Always use a secure connection (SSL)” в настройках, что ни в коем случае не рекомендуется делать.

Gmail отказывается признавать самоподписанные сертификаты SSL, а признаёт только сертификаты от центров сертификации, таких как Mozilla CA. На первый взгляд, это кажется логичным, потому что самоподписанные сертификаты без предварительного сохранения открытого ключа внутри интерфейса Gmail на самом деле не обеспечивают никакой защиты от подделки почтовых сообщений и атаки типа Man-in-The-Middle.

Доверять самоподписанным сертификатам можно было бы в том случае, если бы Gmail разрешил пользователю предварительно в настройках сайта сохранить открытый ключ стороннего почтового сервиса для проверки самоподписанного сертификата этого сервера. Такой метод обеспечил бы вполне надёжную защиту от атаки типа MiTM и подделки сертификатов. Но, по каким-то причинам разработчики Gmail пошли на более радикальный шаг и полностью отключили поддержку самоподписанных сертификатов.

Вопрос только в том, насколько можно доверять сертификатам от центров сертификации, ведь неоднократно говорилось об их уязвимостях, да в и вредоносное ПО часто подписано такими «авторитетными» сертификатами, что тоже намекает на недостаточную надёжность всей цепочки доверия. Другими словами, приём самоподписанных сертификатов с предварительной установкой открытого ключа в ручном режиме обеспечил бы бóльшую защиту, чем слепое доверие центрам сертификации.



Оставить мнение