O e-mail da Apple mostrando "a identidade do smtp.gmail.com não pode ser verificada"

18

Ao tentar enviar email usando o Gmail no OS X Mail, recebo:

A identidade de "smtp.gmail.com" não pode ser verificada.

O certificado para este servidor é inválido. Você pode estar se conectando a um servidor que está fingindo ser "smtp.gmail.com", o que pode colocar em risco suas informações confidenciais. Deseja se conectar ao servidor de qualquer maneira?

O que fazer?

gmail certificate apple-mail Arjan
fonte
3
Esta também não é a primeira vez: seroundtable.com/archives/017825.html
Antoine Jaussoin 04/04
11
E agora deve ser corrigido: google.com/…
Arjan

Respostas:

22

Nesse caso (4 de abril de 2015), você pode clicar com segurança em "Conectar". Mas, em geral, esses avisos não devem ser ignorados. Veja como você pode investigar ocorrências futuras de tais avisos:

Clique em "Mostrar certificado" e selecione "Google Internet Authority G2" para este incidente:

Autoridade de
certificação intermediária do Google Internet Authority G2
Expirada: sábado, 4 de abril de 2015 17:15:55 Horário de verão da Europa Central
Este certificado expirou

E para "smtp.gmail.com":

smtp.gmail.com
Emitido por: Google Internet Authority G2
Expira: quinta-feira 31 de dezembro de 2015 13:00:00 Horário padrão da Europa Central
Este certificado tem um emissor inválido

Portanto, o certificado para o Gmail ainda estava bom, mas o "emissor intermediário" usado para criá-lo não durou tanto quanto o certificado do Gmail. Isso foi um erro no Google; enquanto isso, eles instalaram um novo certificado no smtp.gmail.com que usa um certificado de emissor diferente. No entanto, como isso era confiável até algumas horas antes do problema começar em abril de 2015 (e supondo que você o tivesse usado antes, quando tudo estava bom), era seguro selecionar "Conectar".

Arjan
fonte
3
Bem, em princípio, o fato de o intermediário estar desatualizado significa que uma pessoa cautelosa não esperaria mais imediatamente que sua chave não pudesse ser quebrada por um invasor usando força bruta por alguns anos. Esse invasor poderia facilmente ter falsificado o certificado smtp.gmailcom que você vê. Obviamente, a suposição de que um invasor tenha sucesso precisamente no momento da expiração não tem fundamento. Ainda assim, o Google deveria ter verificado sua programação de expiração de certificados - incentivando os usuários a ignorar os avisos de segurança (embora aceitáveis ​​neste caso) os educem na direção errada!
Hagen von Eitzen 04/04
@Hagen, a cadeia de certificados ainda é válida; apenas as datas estão desativadas. (Mas eu tenho enfatizado que clicar no botão Conectar é muito bem hoje .)
Arjan
11
Sim, eu deveria ter dito "não confiável" em vez de "inválido". Obviamente, o processo de definição de datas de validade é executado com margem de segurança suficiente para permitir a aceitação "em breve" após a data de validade. Por outro lado, o Google não precisará se preocupar em adicionar o certificado a uma CRL se souberem agora que a chave foi explicitamente comprometida. Por isso, a rede de segurança da CRL é removido depois do termo
Hagen von Eitzen
(Muito concordou, @Hagen.)
Arjan
3
Lembre-se de que os certificados expirados não estão listados em nenhuma CRLs (listas de revogação de certificados). Portanto, se o Google revogou anteriormente o certificado "Google Internet Authority G2", após o término do prazo de validade do certificado, você não saberia mais sobre a revogação, pois a revogação não estará na CRL após esse período. Isso pressupõe que os certificados expirados sejam inválidos de qualquer maneira, portanto, tê-los na CRL seria o óbvio.
um CVn 04/04
9

O Google enviou um e-mail para os inscritos nos alertas:

Google Apps for Business

Status: interrupção do serviço

Esperamos resolver o problema que afeta a maioria dos usuários do Gmail em 4 de abril de 2015 às 13:00:00 PDT. Observe que esse período de tempo é uma estimativa e pode mudar.

smtp.gmail.com está exibindo um certificado inválido.

4 de abril de 2015 11:58:00 PDT

Faiyaz Ahmed
fonte