web-dev-qa-db-ja.com

Thunderbird-Gmail SSL証明書が偽装された場合はどうなりますか?

私は良いMUAを使用しています:Thunderbird [Gmailで私のメールを読んだり返信したりするため]。

それで、公共のwifiがある場所に行って、誰かが私のパスワード/ユーザー名/メールを盗聴しようとした場合はどうなりますか?

質問:
-gmail 利用可能のみ SSLを使用したIMAP/SMTP経由ですか? [sslstripのような攻撃でパスワードが取得される可能性はありますか?]
-誰かが「smtp.gmail.com」をスプーフィングすると、Thunderbirdが気づき、SSL証明書が悪いと文句を言いますか?

誰かが私の頭の中でこれをクリアできれば私は幸せでしょう:P

5
LanceBaynes

Thunderbird will「間違った証明書」を取得すると文句を言う。 「間違った証明書」とは、間違った名前が含まれている(つまり、予期されるサーバー名を指定していない)か、Thunderbirdによって検証できない(直接または間接的に、Thunderbirdが信頼するルートCAによって署名されていない、有効ではない)証明書です現在の日付、またはX.509検証プロセスに深く潜む他の100のテスト)。

Thunderbirdは、デフォルトで約80のルートCAを信頼します。賄賂を受け取ったり、偽の証明書を発行するように強制されたりすることはできないと主張することは、一種の信念の飛躍です。ただし、そのリストは自由にトリミングできます([設定]-> [詳細]-> [証明書]-> [証明書の表示])。

また、Thunderbirdが文句を言うとき、それは致命的ではない方法でそれを行います。ユーザーは引き続きオーバーライドでき、「今すぐ実行する」ボタンをクリックするのと同じくらい簡単です。証明書を拒否すると、メールが読まれなくなります。電子メールを読むという衝動は、多くのユーザーが反省することなく、多くの場合警告メッセージを読むことさえせずに、セキュリティ警告をすぐに迂回するようなものです。

7
Thomas Pornin