Come faccio a verificare se un certificato SSL gmail / gtalk è valido?

20

Pidgin ha iniziato a chiedermi di accettare / rifiutare il nuovo certificato SSL gtalk alcuni giorni fa e al momento non sono in grado di effettuare il tunneling del traffico per verificare se continuerebbe a succedere o se non lo farebbe (il che significherebbe un tentativo di attacco MITM SSL).

Come (e dove) posso verificare se il nuovo certificato SSL è valido? Posso farlo anche io? C'è un posto con un elenco di certificati dove potrei confrontarli?

Ho trovato la domanda , ma non sono sicuro che quella sia la risposta Sto cercando. Le risposte a questa domanda dicono che è compito dei client convalidare il certificato, ma quello che succede a me è che pidgin (nel mio caso il client) mi dice "Il certificato per talk.google.com non può essere convalidato. il certificato sostiene che proviene da "gmail.com". Ciò potrebbe significare che non ti stai connettendo al servizio che ritieni di essere. ". Ora, potrei essere troppo paranoico, ma mi piacerebbe davvero sapere come e se posso controllare manualmente questo. Grazie.

    
posta pootzko 03.11.2011 - 21:07
fonte

7 risposte

13

Il messaggio che citi significa: "Volevo parlare con un server chiamato talk.google.com , ma ciò che ha risposto sembra utilizzare un certificato che ha il nome gmail.com in esso e non %codice%". Ciò significa che uno di questi è vero:

  • alcuni terzi malintenzionati stanno attivamente reindirizzando la tua connessione al server sbagliato, probabilmente per avvelenamento DNS;
  • qualche contrattempo al tuo ISP implicava una cattiva configurazione DNS che emulava l'effetto dell'avvelenamento DNS, reindirizzando il tuo tentativo di connessione al server sbagliato;
  • Google non sa come fare SSL;
  • c'è qualcosa di sospetto nella configurazione di Pidgin.

Da qui, il collegamento alla porta 443 su talk.google.com comporta un certificato server che include il nome: talk.google.com , che è corretto.

Nota che Google è noto per giocare brutti scherzi con il DNS. Dalla mia macchina domestica, subject=/C=US/ST=California/L=Mountain View/O=Google Inc./CN=talk.google.com viene risolto in un alias in talk.google.com , che ha IP 74.125.113.125. Da un'altra macchina su un altro continente, talk.l.google.com viene risolto in un alias su talk.google.com , che questa volta ha IP 209.85.147.125. C'è ovviamente una sorta di bilanciamento del carico in tutto il mondo in azione qui.

Bottom-line: non puoi controllare "da solo" se un certificato è buono o meno, salvo forse telefonando al quartier generale di Google e facendoli precisare l'impronta digitale del certificato (che loro potrebbe essere d'accordo, si dice che apprezzino questo tipo di umorismo). In realtà, il messaggio che ottieni è un'indicazione piuttosto precisa che fai non ottenere il certificato giusto, quindi è meglio usare il messaggio come sintomo e indagare se effettivamente ti colleghi al server giusto. Suggerisco di provare Wireshark per vedere che server sta effettivamente contattando Pidgin e cosa succede al livello SSL.

    
risposta data 04.11.2011 - 00:36
fonte
7

How (and where) can I check if the new SSL certificate is valid?

  1. Salva il certificato come file (DER, Base-64 o PKCS # 7).
  2. Leggi l'emittente per il certificato.
  3. Ottenere il certificato dell'emittente.
    • L'ubicazione del certificato dell'emittente viene in genere specificata dal campo "Accesso alle informazioni sull'autorità".
  4. Se il certificato dell'emittente non è una CA radice, continuare la catena finché non si ottiene tutto il certificato dalla CA radice al certificato di interesse.
  5. A partire dal certificato firmato dalla CA radice, controllare ciascun certificato per il periodo di validità e correggere la denominazione dell'oggetto
  6. Leggi il campo Algoritmo della firma per l'has e il tipo di crittografia utilizzato.
  7. Usando la chiave pubblica dal certificato di firma decrittografare la firma
  8. Calcola il valore dell'hash utilizzando l'algoritmo specificato nel campo Algoritmo della firma dei dati del certificato fino a ma non includendo la firma.
  9. Confronta il valore decrittografato con l'hash calcolato. Se corrispondono, la firma è valida.
  10. Continua lungo la catena finché non trovi un certificato che non è valido.
risposta data 04.11.2011 - 01:59
fonte
7

Se disponevi di Pidgin che registra due account, un account Google Apps e un account Gmail, non preoccuparti, non c'è nessun errore di certificato. È solo un bug di Pidgin che sta ignorando da un anno.

    
risposta data 24.06.2012 - 09:47
fonte
0

Ho pensato di buttare fuori la soluzione a questo problema. Se apri l'impostazione dell'account per il tuo account Gmail e fai clic sulla scheda Avanzate, probabilmente vedrai "Connect server:" impostato su talk.google.com. Non sono esattamente sicuro di cosa stia succedendo (se questo è un vecchio default o qualcosa del genere), ma eliminarlo risolve il problema.

La mia ipotesi da ciò che ho visto nella mia sessione su Wireshark è che si sta connettendo a talk.google.com, chiedendo il certificato gmail.com e poi confondendo il risultato (non sono sicuro che sta ottenendo il gmail cert e essere confuso perché è collegato a talk.google.com o se Google sta sputando un certificato errato perché ti stai connettendo a un server e chiedi il certificato da un altro server).

    
risposta data 29.05.2013 - 16:43
fonte
0

Ho risolto questo problema aggiornando pidgin. 2.10.7 non mi dà l'errore del certificato che ha fatto 2.7.11.

Anche se in realtà è stato piuttosto difficile tentare di verificare il certificato presentato; Non sono mai stato in grado di ottenere alcun servizio di Google per darmi un certificato con la stessa impronta digitale di cui si lamentava l'unico pidgin.

Non penso che sia un attacco MITM, solo una mancanza di pubblicazione dei certificati e la mia capacità di capire quale server alla fine risponde alla richiesta.

Ma non ero a mio agio nell'accettare l'errore, quindi spero che il pidgin aggiornato non lo faccia per me.

    
risposta data 14.10.2013 - 18:22
fonte
-1

Una soluzione diversa allo stesso problema: ho semplicemente dovuto cancellare un carattere spaziale dal campo:

Modifica account > Avanzate > Connetti server:

Non sei sicuro del motivo per cui il messaggio ha iniziato a essere visualizzato solo ora; Non ho cambiato le impostazioni per ~ 2 anni. Forse questo potrebbe aiutare qualcun altro.

    
risposta data 09.09.2013 - 12:00
fonte
-1

Inserisci il nome di dominio ( gmail.com ) in un Firefox o Chrome con HTTPS ( https://gmail.com ) e verifica se l'icona barra / lucchetto dell'URL è verde o no. Verde significa che il browser si fida della connessione. Quindi verifica l'impronta digitale del certificato nel browser e confronta con l'impronta digitale della finestra Pidgin.

Non credo che la differenza del nome di dominio (gtalk.com vs gmail.com) sia un grosso problema, entrambi sono domini di Google.

Al giorno d'oggi gmail.com reindirizza a accounts.google.com , quindi uso https://gmail.com/nosuchpage invece che mostra solo una pagina 404 senza reindirizzamento.

    
risposta data 23.07.2014 - 18:20
fonte

Leggi altre domande sui tag