Certificat mail.me.com
Le
pdorange
Depuis 2 jours, mail.app me signale que le certificat de mail.me.com ne
peut pas être vérifier
Je connais l'option "Toujours se fier" pour plus qu'il me demande, mais
de manière générale comment savoir si je peux réellemen m'y fier,
pourquoi ce changement depuis 2 jours.
Y'aurait-il un lien avec la faille OpenSSL (je croyais que Apple avait
signalé ne pas utiliser ce service) ?
Un lien d'explication générale sur la manière de gérer/valider ces
certificats me serait utile si vous avez.
Je viens de jetter un oeil au certificat (dans le trousseau) et j'ai
donc un certificat "mail.mac.com" valable jusqu'au 19 avril : comme je
venez de confirmer à l'ouverture de mail.app, je suppose que c'est donc
un certificat temporaire et donc que le 19 avril il me redemandera.
Ou alors simplment se certificat expire réellement le 19/04 (mais on est
seulement le 15/04) et mail.app anticipe un peu sur la fin ?
--
Pierre-Alain Dorange Moof <http://clarus.chez-alice.fr/>
Ce message est sous licence Creative Commons "by-nc-sa-2.0"
<http://creativecommons.org/licenses/by-nc-sa/2.0/fr/>
peut pas être vérifier
Je connais l'option "Toujours se fier" pour plus qu'il me demande, mais
de manière générale comment savoir si je peux réellemen m'y fier,
pourquoi ce changement depuis 2 jours.
Y'aurait-il un lien avec la faille OpenSSL (je croyais que Apple avait
signalé ne pas utiliser ce service) ?
Un lien d'explication générale sur la manière de gérer/valider ces
certificats me serait utile si vous avez.
Je viens de jetter un oeil au certificat (dans le trousseau) et j'ai
donc un certificat "mail.mac.com" valable jusqu'au 19 avril : comme je
venez de confirmer à l'ouverture de mail.app, je suppose que c'est donc
un certificat temporaire et donc que le 19 avril il me redemandera.
Ou alors simplment se certificat expire réellement le 19/04 (mais on est
seulement le 15/04) et mail.app anticipe un peu sur la fin ?
--
Pierre-Alain Dorange Moof <http://clarus.chez-alice.fr/>
Ce message est sous licence Creative Commons "by-nc-sa-2.0"
<http://creativecommons.org/licenses/by-nc-sa/2.0/fr/>
Bizarre... Je n'ai pas un tel certificat.
--
Michel Vauquois
Que Dieu vous garde... Moi j'ai pas le temps (RD)
http://photos.michelvauquois.free-h.fr/
http://art-doise.michelvauquois.free-h.fr
Je vois que même les pros galèrent avec ces foutus "certificats". ;-)
Personnellement, je suis encore sous Mac OS X 10.6.8. Et j'ai eu très
vite un compte mail en mac.com et par conséquent un certificat qui a
comme "Common Name" "mail.mac.com" et qui a pour moi aussi a un date
d'expiration au 19 avril 2014 01:59:59 HEC.
Lorsqu'on est passé en Mobile Me le FQDN du serveur de mail est devenu
mail.me.com, et ce certificat a "grogné". Comme je n'ai pas vu venir de
renouvellement de ce certificat de la part d'Apple, j'ai fini par le
"marquer" "Always Trust", au "triangle" "Trust", pour les rubriques SSL
et X.509 Basic Policy. Le Trousseau a rajouté un point bleu avec une
croix blanche avec ce commentaire "This certificat is marked as trusted
for "mail.me.com"".
Depuis il me fout une paix royale et c'est ton mail qui m'a rappelé son
existence. ;-)
J'ai eu le même type de galère lorsqu'à l'Université, ils ont décidé de
passer d'un seul serveur en "mail.univxxxx.fr" à deux serveurs avec des
FQDN différents "pop.univxxxx.fr" et "imap.univxxxx.fr". Ils ont mis un
certain temps pour comprendre qu'ils devaient "acheter" d'autres
certificats.
Franchement je galère un max avec ces certificats surtout depuis que
j'utilise un Mac OS X 10.7.5 server pour mes besoins personnels. Tout où
presque fonctionne avec des certificats, et la doc est vraiment
"pauvre".
--
Jacques Perrocheau
______________________________________________________________________
Les problèmes de certificats d'authentification SSL ne semble pas
intéresser les honorables contributeurs de ce groupe. :-(
--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
Ou alors personne n'y comprend rien...
En tout cas ça m'a fait la même chose à la maison (compte mac.com
aussi). Dans les 2 cas une validation forcé sur certificat a supprimer
le questionnement de Mail.app mais bon du coup, la sécurité...
--
Pierre-Alain Dorange Moof
Ce message est sous licence Creative Commons "by-nc-sa-2.0"
En ce qui me concerne, c'est plutôt ça.
Le IMAP Gmail est en SSL port 993 mais je n'ai pas trouvé de certificat
correspondant dans le trousseau.
Le seul certificat qui apparait est celui du Windows 7 Conector pour
notre téléphone Nokia sous WinPhone7 et ce certificat est obsolète
depuis juillet 2013.
--
Jean-Pierre
Jacques Perrocheau
Les certificats « wildcards » coûtent en général plus cher si l'on a que
deux/trois sous-domaines. Au-delà bien sûr c'est plus avantageux.
Ton université a dû choisir je l'espère, cette solution en prenant en
compte le facteur coût tout simplement.
Du temps de 10.6, la documentation était bien fournie mais on peut voir
qu'une section sur les certificats est présente dans celle du module
serveur des versions 10.7/10.8 :
--
“The bitterness of poor quality remains long after the sweetness of meeting th
e schedule has been forgotten.” – Anonymous
J.P
Le certificat utilisé par le serveur imap.gmail.com:993 est garanti par
le certificat racine de GeoTrust Global CA (j'ai ce certificat racine
sur 10.6.8 et valable jusqu'au 21/05/22).
--
“Bad programmers have all the answers. Good testers have all the questions.”
– Gil Zilberfeld
Je n'ai pas ça dans mon Trousseau de 10.6.8
les paramètres de mon compte imap.gmail sont
port 993 SSL
Password
--
Jean-Pierre
J.P
Le certificat racine de GeoTrust est pourtant inclus par défaut avec
10.6.8 :
#v+
% security find-certificate -a -c GeoTrust
/System/Library/Keychains/*.keychain | grep alis
"alis"<blob>="GeoTrust True Credentials CA 2"
"alis"<blob>="GeoTrust Primary Certification Authority - G2"
"alis"<blob>="GeoTrust Primary Certification Authority - G3"
"alis"<blob>="GeoTrust Primary Certification Authority"
"alis"<blob>="GeoTrust Global CA"
#v-
Et le certificat du serveur imap.gmail.com:993 est signé par GeoTrust :
#v+
% openssl s_client -connect imap.gmail.com:993 | head
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num :unable to get local issuer certificate
verify return:0
CONNECTED(00000003)
---
Certificate chain
0 s:/C=US/STÊlifornia/L=Mountain View/O=Google Inc/CN=imap.gmail.com
i:/C=US/O=Google Inc/CN=Google Internet Authority G2
1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
#v-
--
“3 Errors walk into a bar. The barman says, “normally I’d Throw you all out, b
ut tonight I’ll make an Exception.” – @iamdevloper
Je suppose qu'il faut être root pour faire ça.
ce serait donc normal que je ne puisse le voir de mon compte user, même
comme admin.
--
Jean-Pierre