Gmail cert lejárt?

Web, mail, IRC, IM, hálózatok

A kérdés azért sem triviális, mert éppen Fedora 28-ról upgrade-eltem Fedora 29 alfára, s most jelent meg a hiba, de lehet véletlen egybeesésé is. Claws-mail próbál Gmail-hez csatlakozni imap4-en, mire ezt mondja:

SSL/TLS certificate changed and is invalid

Azt mondja, hogy a régi a Google cert-je, 2018. november 13-áig érvényes, míg az új neve invalid2.invalid, self-signed cert, s 2030. január 1-ig „jó”.

Aki ért a biztonsághoz, digitális aláíráshoz, árulja el, mi történt, mert érzésből azt mondom, ez nem az, amire azt kellene mondanom, hogy hát persze, csináld csak. Például szeretnék elkerülni egy MITM-et, azt, hogy a titkosítást valaki a Gmail szervere és köztem végződtesse, majd újratitkosítsa. Gondolom, épp ezért van az aláírás.

Szóval hogyan férhetek hozzá imap4-en a leveleimhez?

  • 2593 megtekintés

( slinky v | 2018. 09. 07., p – 22:10 )

erzesre MITM... vmi osregi routerrel volt ilyen issuem

Openwrt 4.9.124-es kernellel. Egy furcsaság volt ma. A munkahelyemről ssh-ztam az otthoni router-emre, bekapcsoltam az otthoni desktop gépem (wake on LAN). Azon összetömörítettem a Firefox profilom, majd ssh-n elkezdtem átmásolni, de ez nagyjából 30 kB/s - nem elírás - sebességgel ment. 30 Mb/s down, 3 Mb/s up kapcsolatom van, azért ebből is nagyjából 10-szer ekkora sebességnek ki kellett volna jönnie.

Akkor azt hiszem, router újraindítás, jelszó megváltoztatás lesz a menetrend. De nem vagyok boldog, különösképp a jelszó miatt.

Kellett a profil, mert abban volt a Red Hat Bugzillához a jelszavam, az otthoni gépem meg ugyan működött, csak nem volt grafikus felülete.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem tudom, mi történt, nem vagyok egyáltalán meggyőződve arról, hogy megtörték. Az felettébb gyanús, hogy a cert probléma épp az oprendszer upgrade után jött elő. Nem ismerem a technológiát, fogalmam sincs, mit tárol a levelező kliens, hogyan van ez. Talán az ismert hitelesítő szervezetek be vannak drótozva a kliensbe, nekem meg most van egy olyan build-em, amelybe nincs? Vagy nem tudom.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ezt könnyű kiderítened:

Feltéve ha ez a gmail imap szervere (passz mivel nem használom levelezésre)

openssl s_client -connect imap.gmail.com:995 -showcerts |openssl x509 -text

Mondjuk ez ilyet ír:
Issuer: C = US, O = Google Trust Services, CN = Google Internet Authority G3
Validity
Not Before: Aug 21 08:04:00 2018 GMT
Not After : Nov 13 08:04:00 2018 GMT

Fedora 27, Thinkpad x220

Igen, ntp szinkronja van. Annyit kiderítettem, hogy másik gépről el tudom érni ugyanazon a router-en keresztül a gmail-es fiókomat imap4-en keresztül, tehát az alfa állapotú Fedora 29-be fordított Claws Mail, vagy valamilyen biztonsági függősége - talán openssl? - nincs normálisan összekalapálva, így vélhetően ez a felfordulás okozója. Az a kérdés, bugreportoljam-e, vagy meg fog javulni akkor is, ha lapulok, mint nyúl a fűben. :)

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( locsemege v | 2018. 09. 24., h – 20:04 )

Nem is olyan egyszerű ez. Fedora fejlesztő írta:

If I understand well the issue, from the descriptions provided the change is on the server behavior. When the server sees TLS1.3 it requires SNI to be seen, and if not it will return back a bogus certificate. Under TLS1.2 the server when doesn't see SNI it behaves by sending the right certificate.

So indeed, the trigger is the TLS1.3 enablement, but the issue is not due to TLS1.3, but rather due to the server awkward behavior.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( NCK | 2018. 09. 25., k – 01:41 )

Androidon a Chatsecure kliens (XMMP, secured Hangouts) minden netre visszalépéskor elköveti a CERT frissítés engedélykérését, hónapok óta.