Thunderbird: ¿qué sucede si el certificado SSL de Gmail se falsifica?

5

Uso un buen MUA: Thunderbird [para leer / responder a mis correos electrónicos en Gmail].

Entonces, ¿qué sucede si voy a un lugar, dónde está el wifi público y alguien intenta rastrear mi contraseña / nombre de usuario / correos electrónicos?

Preguntas:
 - ¿Está gmail disponible solo a través de IMAP / SMTP con SSL? [¿Un ataque similar a sslstrip podría obtener mis contraseñas?]
 - Si alguien falsifica "smtp.gmail.com", Thunderbird se dará cuenta y se quejará de que el certificado SSL es malo.

Si alguien pudiera aclarar esto en mi cabeza, sería feliz: P

    
pregunta LanceBaynes 23.03.2011 - 14:33
fuente

1 respuesta

7

Thunderbird se se quejará si obtiene un "certificado incorrecto". Un "certificado incorrecto" es un certificado que contiene el nombre incorrecto (es decir, no designa el nombre del servidor esperado) o no puede ser validado por Thunderbird (no firmado, directa o indirectamente, por una CA raíz en la que Thunderbird confía; en la fecha actual, o cualquiera de las otras cien pruebas que acechan en el proceso de validación X.509).

Thunderbird, de forma predeterminada, confía en aproximadamente 80 CA raíz. Afirmar que ninguno de ellos puede ser sobornado o engañado para emitir un certificado falso es una especie de salto de fe. Sin embargo, puede recortar esa lista a voluntad (Preferencias - > Avanzadas - > Certificados - > Ver certificados).

Además, cuando Thunderbird se queja, lo hace de una manera no fatal: el usuario todavía puede anular, y es tan simple como hacer clic en el botón "hágalo ahora, idiota". Rechazar el certificado significa no leer sus correos electrónicos; la necesidad de leer el correo electrónico es tal que muchos usuarios evitan fácilmente la advertencia de seguridad sin remordimientos, a menudo sin siquiera leer el mensaje de advertencia.

    
respondido por el Thomas Pornin 23.03.2011 - 14:57
fuente

Lea otras preguntas en las etiquetas