web-dev-qa-db-ja.com

セキュリティ警告:接続しているサーバーが、検証できないセキュリティ証明書を使用しています。ターゲットプリンシパル名が正しくありません

Outlook 2007とSSLを使用したPOP3を使用してメールを取得しようとしていますが、メールを受信しようとするたびに次のセキュリティ警告が表示されます。

接続しているサーバーが、検証できないセキュリティ証明書を使用しています。ターゲットプリンシパル名が正しくありません。

証明書を開くと、最初のタブ(一般)に次のメッセージが表示されます。

この証明書の意図されたすべての目的を検証できませんでした。

発行者:GeoTrust SSL CA
発行先:*。justhost.com

これは信頼できるプロバイダーの1つです。

中間者攻撃かセキュリティリスクか?それとも、無視できるのは一種の証明書エラーですか?

3
mani_007

justhost はホスティングサービスプロバイダーであり、あなた/あなたの会社が非専用サーバーでメールサービスをホストしている場合、この包括的なワイルドカード証明書を使用して接続を保護します。

SSL/TLSには、クライアントが接続しているホスト名が、安全なソケットが確立されるまでサーバーに公開されないという制限があります。これは、サーバーが、表示された「* .justhost.com」であるデフォルトの証明書を盲目的に提供する必要があることを意味します。

したがって、会社のエイリアスドメインを介してメールサーバーにアクセスする場合、たとえば、 mail.company.comでは、証明書の件名の不一致が発生します。次の手順を使用して、使用する正しいドメインを見つけることができます。

  1. pingメールサーバーでIPアドレスを取得する
  2. nslookupまたは whois を使用して、サーバーのホスト名を取得します。ホスト名は「justhost.com」で終わる必要があります。これはワイルドカード証明書でカバーされています。
  3. OutlookでPOP/IMAPサーバーとSMTPサーバーのアドレスをホスト名に置き換えます
3
billc.cn

まず、オペレーティングシステムのCRL(証明書失効リスト)を更新します。最近、ハッキングされたCAが非常に多くなっています。

ホストの名前は、認定された名前と同じです。サブドメインの場合は、thatサブドメインに対して証明書を発行するか、ドメイン全体で有効にする必要があります。 pop3接続を暗号化するために発行できなかった証明書の意図された目的を確認してください(ただし、効果的に暗号化されていることに注意してください)。

認定されたドメインが信頼できるドメインであるかどうかを確認します。そうすれば、これらのエラーがセキュリティリスクをもたらす可能性はほとんどありません。

0
drcelus

警告を無視するのではなく、サーバーサポートに連絡して、何が起きているのかを尋ねてください。 「ターゲットプリンシパル名が正しくありません」というメッセージは、ホストA.comが「B.com」に発行されたサーバー証明書を送信することを意味する場合があります。これは、複数のホストが管理されている場合の一般的な構成の問題であるため(code.google.comにも同じ問題があります)、ここではセキュリティの問題がない可能性があります。それでも確かに(特に自由が制限されている国に住んでいる場合)、サーバー管理者からコメントを受け取るまで、すべてが正常であると想定すべきではありません。