¿Cómo puedo verificar las huellas digitales de un certificado?

8

Yo uso gmail con mutt sobre imap. imaps://imap.gmail.com:993

Hoy, cuando lancé Mutt, me impulsó a rechazar o aceptar un certificado. Captura de pantalla:

q:Exit  ?:Help


This certificate belongs to:
   Google Internet Authority
   Google Inc

       US

This certificate was issued by:

   Equifax
   Equifax Secure Certificate Authority
       US

This certificate is valid
   from Wed, 12 Dec 2012 15:58:50 UTC
     to Tue, 31 Dec 2013 15:58:50 UTC
SHA1 Fingerprint: 5967 6E6B DD9F 4D9D DAE6 A15D 9DBC DF24 357C F776
MD5 Fingerprint: 5799 FA8E 83BC E022 0721 988A 0172 7ECB


-- Mutt: SSL Certificate check (certificate 1 of 2 in chain)
(r)eject, accept (o)nce, (a)ccept always

¿Cómo puedo verificar que este es realmente el certificado correcto? ¿Debo asegurarme de que las huellas digitales coincidan?

djeikyb
fuente

Respuestas:

3

puede verificar el certificado, pero solo comparándolo con una copia legítima conocida. ver aquí para un ejemplo: http://kamivaniea.com/?p=507

El problema aquí es que, dado que está intentando validar el certificado en gmail.com:443, y ahí es donde obtuvo este certificado en primer lugar, no tiene un buen certificado conocido con el que comparar.

Aquí hay más información sobre las huellas digitales de cert: http://en.wikipedia.org/wiki/Public_key_fingerprint

Según mi experiencia, cuando permite un certificado, la mejor opción es asegurarse de acceder a la dirección correcta del servidor. luego, una vez que se importa, si alguna vez accidentalmente engorda la URL, se le informará que el certificado presentado no coincide con la versión en caché y que su comunicación puede no ser segura.

Frank Thomas
fuente
1
Entonces, idealmente, Google publicaría las huellas digitales para sus diversas huellas digitales. Siento que si presiono aceptar, estoy confiando ciegamente en este certificado, ya que no sé dónde acceder a una copia legítima conocida.
djeikyb
Además, dado que el certificado afirma ser emitido por Equifax, ¿hay alguna forma de verificar eso en lugar de las huellas dactilares para el imap de gmail?
djeikyb