Comment puis-je vérifier les empreintes digitales d'un certificat?

8

J'utilise gmail avec mutt sur imap. imaps://imap.gmail.com:993

Aujourd'hui, lorsque j'ai lancé mutt, cela m'a incité à rejeter ou à accepter un certificat. Capture d'écran:

q:Exit  ?:Help


This certificate belongs to:
   Google Internet Authority
   Google Inc

       US

This certificate was issued by:

   Equifax
   Equifax Secure Certificate Authority
       US

This certificate is valid
   from Wed, 12 Dec 2012 15:58:50 UTC
     to Tue, 31 Dec 2013 15:58:50 UTC
SHA1 Fingerprint: 5967 6E6B DD9F 4D9D DAE6 A15D 9DBC DF24 357C F776
MD5 Fingerprint: 5799 FA8E 83BC E022 0721 988A 0172 7ECB


-- Mutt: SSL Certificate check (certificate 1 of 2 in chain)
(r)eject, accept (o)nce, (a)ccept always

Comment puis-je vérifier qu'il s'agit bien du bon certificat? Dois-je m'assurer que les empreintes digitales correspondent?

djeikyb
la source

Réponses:

3

vous pouvez vérifier le certificat, mais uniquement en le comparant à une copie dont la légitimité est connue. voir ici pour un exemple: http://kamivaniea.com/?p=507

le problème ici est que puisque vous essayez de valider le certificat sur gmail.com:443, et que c'est là que vous avez obtenu ce certificat en premier lieu, vous n'avez pas de bon certificat connu à comparer.

Voici quelques informations supplémentaires sur les empreintes digitales cert: http://en.wikipedia.org/wiki/Public_key_fingerprint

D'après mon expérience, lorsque vous autorisez un certificat, le meilleur pari est de vous assurer que vous accédez à la bonne adresse de serveur. puis une fois importé, si vous avez accidentellement fatigué l'URL, vous serez informé que le certificat présenté ne correspond pas à la version mise en cache et que votre communication peut ne pas être sécurisée.

Frank Thomas
la source
1
Donc, idéalement, Google publierait les empreintes digitales de leurs différentes empreintes digitales. J'ai l'impression que si je clique sur Accepter, je fais aveuglément confiance à ce certificat, car je ne sais pas où accéder à une copie légitime connue.
djeikyb
De plus, puisque le certificat prétend être délivré par Equifax, existe-t-il un moyen de vérifier cela au lieu des empreintes digitales pour l'imap de gmail?
djeikyb