Mail d'Apple indiquant «l'identité de smtp.gmail.com ne peut pas être vérifiée»

18

Lorsque j'essaie d'envoyer des e-mails à l'aide de Gmail dans OS X Mail, j'obtiens:

L'identité de "smtp.gmail.com" ne peut pas être vérifiée.

Le certificat de ce serveur n'est pas valide. Vous vous connectez peut-être à un serveur qui prétend être "smtp.gmail.com", ce qui pourrait mettre en danger vos informations confidentielles. Voulez-vous quand même vous connecter au serveur?

Que faire?

Arjan
la source
3
Ce n'est pas la première fois non plus: seroundtable.com/archives/017825.html
Antoine Jaussoin
1
Et maintenant devrait être corrigé: google.com/…
Arjan

Réponses:

22

Dans ce cas (4 avril 2015), vous pouvez cliquer en toute sécurité sur "Se connecter". Mais en général, ces avertissements ne doivent pas être ignorés. Voici comment vous pouvez enquêter sur les futures occurrences de ces avertissements:

Cliquez sur "Afficher le certificat" puis sélectionnez "Google Internet Authority G2" pour cet incident:

Google Internet Authority G2 Autorité de
certification intermédiaire
Expiré: samedi 4 avril 2015 17:15:55 Heure d'été d'Europe centrale
Ce certificat a expiré

Et pour "smtp.gmail.com":

smtp.gmail.com
Émis par: Google Internet Authority G2
Expire: jeudi 31 décembre 2015 1:00:00 Central European Standard Time
Ce certificat a un émetteur invalide

Ainsi, le certificat pour Gmail était toujours bon, mais "l'émetteur intermédiaire" qui a été utilisé pour le créer n'a pas duré aussi longtemps que le certificat de Gmail. C'était une erreur chez Google; en attendant, ils ont installé un nouveau certificat sur smtp.gmail.com qui utilise un certificat d'émetteur différent. Cependant, comme cela était fiable jusqu'à quelques heures avant le début du problème en avril 2015 (et en supposant que vous l'ayez utilisé auparavant, alors que tout allait bien), il était alors sûr de sélectionner "Connecter".

Arjan
la source
3
Eh bien, en principe, le fait que l'intermédiaire est obsolète signifie qu'une personne prudente ne s'attendrait plus tout de suite à ce que sa clé n'ait pas pu être brisée par un attaquant utilisant la force brute pendant quelques années. Un tel attaquant aurait facilement pu falsifier le certificat smtp.gmailcom que vous voyez. Bien entendu, l'hypothèse selon laquelle un tel attaquant réussit précisément au moment de son expiration n'est pas fondée. Pourtant, Google aurait dû vérifier le calendrier d'expiration de leur certificat - en encourageant les utilisateurs à ignorer les avertissements de sécurité (bien qu'ok dans ce cas) les éduquent dans la mauvaise direction!
Hagen von Eitzen
@Hagen, la chaîne de certificats est toujours valide; seules les dates sont décalées. (Mais j'ai souligné que cliquer sur Connect est bien aujourd'hui .)
Arjan
1
Ouais, j'aurais dû dire "pas de confiance" au lieu de "invalide". Bien sûr, le processus de fixation des dates d'expiration est exécuté avec une marge de sécurité suffisante pour permettre une acceptation "peu de temps" au-delà de la date d'expiration. Là encore, Google ne sera pas à se soucier même ajouter le cert à une liste de révocation si elles se sont passées à apprendre maintenant que la clé a été explicitement compromise. Par conséquent, le filet de sécurité CRL est retiré après expiration
Hagen von Eitzen
(Tout à fait d'accord, @Hagen.)
Arjan
3
N'oubliez pas que les certificats expirés ne sont répertoriés dans aucune liste de révocation de certificats (listes de révocation de certificats). Par conséquent, si Google avait précédemment révoqué le certificat "Google Internet Authority G2", une fois l'heure de fin de validité du certificat écoulée, vous ne seriez plus nécessairement informé de la révocation, car la révocation ne sera plus dans la liste de révocation de certificats après cette date. C'est sur l'hypothèse que les certificats expirés sont de toute façon non valides, donc les avoir dans la liste de révocation de certificats serait une évidence.
un CVn du
9

Google a envoyé un e-mail aux abonnés aux alertes:

Google Apps for Business

Statut: interruption de service

Nous prévoyons de résoudre le problème affectant la majorité des utilisateurs de Gmail au 4 avril 2015 à 13h00 PDT. Veuillez noter que ce délai est une estimation et peut changer.

smtp.gmail.com affiche un certificat non valide.

4 avril 2015 11:58:00 PDT

Faiyaz Ahmed
la source