Re: Thunderbird&ssl

To: debian-russian@lists.debian.org
Subject: Re: Thunderbird&ssl
From: Victor Wagner <vitus@45.free.net>
Date: Mon, 26 Jun 2006 09:44:07 +0400
Message-id: <[🔎] 20060626054406.GA360@45.free.net>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] e7nad5$nr4$1@sea.gmane.org>
References: <[🔎] 20060623134413.GA3851@moby.yurevich.ru> <[🔎] e7n96v$lip$1@sea.gmane.org> <[🔎] e7nad5$nr4$1@sea.gmane.org>

On 2006.06.26 at 00:40:04 -0500, Nicholas wrote:

> Как отключить подтверждение о принятии ssl сертификата в Thunderbird.
> 
> Мой mail сервер использует ssl сертификат. Каждый раз при запуске 
> Thunderbird от спрашивает доверяю я ли этому сертификату. Сертификат 
> зарегестрирован  в edit/preferens/advanced/sertificates/Manage 
> sertificates/Web sites.

Значит, это плохой, неправильный сертификат, если он вызывает у
Thunderbird подозрение. Значит что Thunderbird не может убедиться в том,
что это именно тот сертификат, которому ты доверяешь

> Таки я доверяю, и не хочу чтоб меня об этом больше спрашивали. Как?

Если это твой mail сервер, сделай ему правильный сертификат. Если это не
твой mail сервер, а mail сервер, которым ты просто пользуешься, поменяй
его нафиг. 

Потому что если его админ  не может сделать правильный сертификат, то он
и где-нибудь в другом месте безопасность профукает, и кто-нибудь украдет
твою почту и твой пароль.

Правильный сертификат должен быть устроен следующим образом:

1. Он не должен быть самоподписанным. Он должен быть подписан на ключе
 Certification Authority, сертификат которого установлен в Thunderbird
 в раздел Trusted Certification Authorities.
 (можешь создать собственную certification authority c помощью скрипта
 CA.pl из комплекта openssl) 

2. В поле Common Name сертификата должно быть имя хоста, к  которому ты
коннектишься по SSL. Полное доменное имя, совпадающее с тем, что у тебя
написано в поле "сервер" в соответствующем диалоге.

3. Срок действия сертификата должен 
уже наступить, но еще не истечь.

4. (Необязательно) В поле extendedKeyUsage желательно поставить способ
использования serverAuthentication. CA.pl это сделать забывает, что
лечится редактированием /etc/ssl/openssl.cnf. Но
вообще-то ни один из известных мне почтовых клиентов на это не ругается.

Вообще по-моему мозиллоиды выкидывая окошко "Я не доверяю этому
сертификату" подробно пишут ПОЧЕМУ ИМЕННО они этому сертификату не
доверяют.

> -- 
> Best regards,
> 	    Nicholas
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-russian-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact 
> listmaster@lists.debian.org
>

Reply to:

Follow-Ups:
- Re: Thunderbird&ssl
  - From: Nicholas <nicholas@networkgate.us>

References:
- debian пиво
  - From: Yury Yurevich <debian@yurevich.ru>
- Thunderbird&brouser
  - From: Nicholas <nicholas@networkgate.us>
- Re: Thunderbird&ssl
  - From: Nicholas <nicholas@networkgate.us>

Prev by Date: Re: Thunderbird&ssl
Next by Date: Dict and locale UTF-8
Previous by thread: Re: Thunderbird&ssl
Next by thread: Re: Thunderbird&ssl
Index(es):
- Date
- Thread