¿Cómo saber cuándo instalar un certificado?

Navega tus respuestas
0

¿Cómo sabe realmente cuándo se emite un certificado que su sistema no reconoce, ya sea para confiarlo o no? Cuando estaba configurando Outlook para Gmail me pidieron que instale el siguiente certificado que parece legítimo

SupongoqueconfíoenGoogle,perounacosaquenuncaentendíes¿porquénosepuedefalsificarelcertificadoynoprovenirdeGoogle?

AquíestáelmensajedeOutlook2013

Contenido del certificado exportado: 

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
    
pregunta Celeritas 19.11.2015 - 08:59
fuente

2 respuestas

2

Cert está bien.

Cert está bien. (Se encadena a una CA raíz buena. Lo verifiqué manualmente en Win10).

Este certificado es válido SOLAMENTE para smtp.gmail.com . (Ver más abajo). Si accede por CUALQUIER otro nombre de DNS o IP, esto va a fallar.

¿Qué nombre usas? ¿Cómo está involucrado el proxy? 

$ openssl x509 -in smtp.gmail.com.cer -noout -text

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 5464163569050496664 (0x4bd49bd0cfe2ae98)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, O=Google Inc, CN=Google Internet Authority G2
        Validity
            Not Before: Nov 12 19:03:23 2015 GMT
            Not After : Feb 10 00:00:00 2016 GMT
        Subject: C=US, ST=California, L=Mountain View, O=Google Inc, CN=smtp.gmail.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:b7:a6:96:46:f6:3c:58:75:f3:79:d4:e0:83:6d:
                    16:d8:e6:ae:30:e6:2f:22:40:b5:ab:6c:a3:8d:48:
                    4d:62:3e:22:b5:44:1d:83:aa:0d:35:23:59:1a:b7:
                    d3:09:c9:0e:3a:f2:2b:8d:b7:79:89:4a:b1:b8:3b:
                    e8:02:54:09:e4:84:80:f7:26:7c:d0:a9:b4:65:c2:
                    e0:49:ab:c7:2b:bf:b9:d7:0d:f8:56:cb:e9:bf:57:
                    d5:89:76:00:26:5f:41:32:06:98:b9:e7:3f:8c:56:
                    35:16:13:2a:aa:3d:c1:2a:27:2f:44:4e:bf:5f:94:
                    f4:a2:0e:40:84:61:1c:65:fb:e5:1a:21:19:bf:26:
                    16:5a:46:39:9b:9f:ab:16:2b:87:2c:d6:a9:27:6c:
                    5c:d0:7d:f3:28:6a:53:0e:9d:f9:8a:0c:61:f1:cd:
                    d8:33:0f:c3:83:76:45:77:43:15:6d:88:b1:b5:8e:
                    83:a9:c3:6c:f3:4d:59:cf:ca:ef:70:76:44:5a:cc:
                    2a:81:7b:f0:75:51:80:19:63:12:26:6f:a3:b4:17:
                    bc:0e:2c:d0:87:e0:8d:05:55:0f:b3:fb:98:02:2a:
                    82:36:12:c2:b8:bf:1c:1e:80:4d:c1:16:61:ea:e4:
                    1f:01:ea:1d:e6:43:ee:b4:3d:85:76:d6:49:37:69:
                    4b:dd
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Extended Key Usage: 
                TLS Web Server Authentication, TLS Web Client Authentication
            X509v3 Subject Alternative Name: 
                DNS:smtp.gmail.com
            Authority Information Access: 
                CA Issuers - URI:http://pki.google.com/GIAG2.crt
                OCSP - URI:http://clients1.google.com/ocsp

            X509v3 Subject Key Identifier: 
                9F:78:EC:82:3D:C9:AA:A6:B9:92:F9:82:EB:7A:13:3C:2B:65:56:8D
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Authority Key Identifier: 
                keyid:4A:DD:06:16:1B:BC:F6:68:B5:76:F5:81:B6:BB:62:1A:BA:5A:81:2F

            X509v3 Certificate Policies: 
                Policy: 1.3.6.1.4.1.11129.2.5.1
                Policy: 2.23.140.1.2.2

            X509v3 CRL Distribution Points: 

                Full Name:
                  URI:http://pki.google.com/GIAG2.crl

    Signature Algorithm: sha256WithRSAEncryption
         31:73:17:3a:b1:0f:42:73:5d:69:50:86:33:b0:0b:e9:59:fd:
         f3:c0:c3:26:4a:dc:9c:ab:6b:12:51:64:21:33:5e:41:6c:cc:
         75:e3:47:e0:04:2c:f6:be:f3:d0:a0:ef:8d:92:84:b3:c7:5b:
         3d:96:a6:d6:9b:8d:a1:6e:05:be:49:54:01:af:23:63:c2:a1:
         c6:61:68:93:48:c9:9c:b8:65:b0:01:b8:1d:75:9a:9e:83:73:
         f6:7d:7c:b5:17:2f:b6:35:22:7e:7a:93:c8:88:cf:33:62:2e:
         e5:9b:a5:36:f3:ff:13:81:ae:f8:6d:2b:01:e9:3b:f0:2a:b3:
         15:27:0e:b3:4f:cc:92:4e:0b:f1:d1:69:59:e0:26:51:51:66:
         0b:e1:c6:d8:67:a4:d0:f8:e5:e9:90:0e:3b:89:7b:bb:8f:f6:
         b0:d4:07:6e:cb:44:c6:76:c2:0e:73:01:13:f1:dd:19:c4:e5:
         c4:9b:cb:30:29:65:d8:c0:2b:48:e5:d6:6a:ae:54:c2:d6:a1:
         c6:df:82:b9:5d:91:8c:a5:82:85:e7:df:b7:f5:4e:75:e9:39:
         d4:c9:97:ac:91:f7:1f:c1:63:26:40:dc:9e:73:ec:cb:a7:1f:
         b7:fc:36:98:ad:b8:b5:70:03:3e:a9:98:a5:c1:78:b5:4e:2a:
         3e:7a:31:f8

( Nota al margen: no tenía este certificado en los dos repositorios de certificados útiles que me gusta usar. Tampoco at ssl-tools.net . Tampoco at Crt.sh . Pero tal vez Eventualmente encontraré su camino en esos dos repositorios útiles. )

Aunque no es necesario instalarlo.

Realmente no deberías tener que instalar esto manualmente. De lo contrario algo está mal. Está correctamente firmado por un CA conocido y debería funcionar de manera directa en todos los sistemas operativos modernos.

    
respondido por el StackzOfZtuff 19.11.2015 - 12:27
fuente
1

Los certificados se unen:

  • Un nombre de dominio, nombre de servidor o nombre de host
  • Una identidad organizativa (es decir, el nombre de la empresa) y la ubicación

Eso significa que una empresa externa independiente en la que usted y Google confían debe realizar una evaluación para asegurarse de que Google sea Google y no otra persona / empresa que pretenda ser Google.

Su aplicación tiene una lista de compañías de servicios de identidad de confianza y siempre que se presente un certificado válido emitido con el "bendito" de una de esas compañías, su sistema no se quejará.

    
respondido por el Bracketz 19.11.2015 - 09:42
fuente

Lea otras preguntas en las etiquetas

¿Cómo debo asegurar mi sitio para los inicios de sesión? [cerrado] Openvas - explotando el resultado