¿Qué certificados usa Gmail para conectar por SSL o TLS?

Iniciado por cixert, 30 Junio 2018, 05:35 AM

0 Miembros y 1 Visitante están viendo este tema.

cixert

Me gustaría saber que certificados emplean los servidores de Gmail para negociar con los clientes de correo electrónico la conexión SSL y TLS.
Lo necesito para verificar unos clientes de correo que no se conectan correctamente y sospecho que es por el tema de los certificados.
Gracias.

Machacador

#1
Citar

Un certificado SSL se instala en el servidor pero muestra indicaciones visuales en el navegador, lo que indica a los usuarios que se encuentran protegidos con SSL. Para empezar, si en el sitio está presente SSL, los usuarios verán https:// al principio de la dirección web en lugar de http:// (la "s" extra significa "seguro"). Dependiendo del nivel de validación que un certificado otorga a un negocio, una conexión segura puede mostrarse a través de la presencia de un icono de un candado o una barra de direcciones con una señal verde.

Google aboga ahora por que HTTPS o SSL se usen en toda la red y, desde el año 2014, el motor de búsqueda ha recompensado los sitios web seguros con posiciones mejoradas en la web, otra buena razón para que cualquier sitio instale SSL.

El protocolo TLS (Transport Layer Security, seguridad de la capa de transporte) es el protocolo sucesor de SSL. TLS es una versión mejorada de SSL. Funciona de un modo muy parecido a SSL, utilizando cifrado que protege la transferencia de datos e información. Los dos términos se utilizan con frecuencia indistintamente en la industria, aunque el término SSL sigue siendo el término mayoritario. Cuando usted compra un certificado SSL de Symantec, puede utilizarlo tanto con protocolos SSL como TLS.


Citar

¿SSL funciona con el correo electrónico?

La mayoría de los grandes proveedores de correo electrónico utilizan el cifrado SSL para cifrar los correos de los usuarios. En la mayoría de los casos, la opción SSL está activada de forma automática en la configuración del correo electrónico. Para recuperar correos que han disparado un mensaje de error es posible que el usuario tenga que desmarcar esta opción.

Si la cuenta en la que los usuarios recuperan el correo es compatible con SSL, pueden seguidamente seleccionar esta opción para que los datos sean enviados a través de una conexión segura.

Si una empresa está configurando su propio servicio de correo electrónico, el equipo de TI probablemente deberá preguntar a su proveedor si también tienen la seguridad SSL. Esto eliminará los problemas de seguridad al enviar correos masivos e individuales.


https://www.websecurity.symantec.com/es/es/security-topics/what-is-ssl-tls-https

:rolleyes: :o :rolleyes:

Saludos.
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"


cixert

Cita de: r32 en 30 Junio 2018, 18:41 PM

¿pero es el mismo certificados que usan los clientes de correo como Outlook Express, Outlook Office, Thunderbird, Comodo, etc?
Es decir ¿el certificado del navegador web es el mismo que usan los programas cliente?
Cómo puedo verificarlo en un cliente como Outllook Express ¿existe algún método estándar o un comando?

Slava_TZD

Cita de: cixert en  4 Julio 2018, 01:09 AM
¿pero es el mismo certificados que usan los clientes de correo como Outlook Express, Outlook Office, Thunderbird, Comodo, etc?
Es decir ¿el certificado del navegador web es el mismo que usan los programas cliente?
Cómo puedo verificarlo en un cliente como Outllook Express ¿existe algún método estándar o un comando?

Está firmado por el mismo root, GlobalSign.

https://es.wikipedia.org/wiki/Certificado_ra%C3%ADz


$ openssl s_client -crlf -connect imap.gmail.com:993
CONNECTED(00000004)
depth=2 OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = US, O = Google Trust Services, CN = Google Internet Authority G3
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google LLC, CN = imap.gmail.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=imap.gmail.com
   i:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
1 s:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
   i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign
---


En Windows dudo mucho que te tengas que preocupar de añadir a GlobalSign como trusted... De todas maneras aquí explican como administrar los certificados.


The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.

cixert

#5
Cita de: Slava_TZD en  4 Julio 2018, 02:35 AM
Está firmado por el mismo root, GlobalSign.

https://es.wikipedia.org/wiki/Certificado_ra%C3%ADz


$ openssl s_client -crlf -connect imap.gmail.com:993
CONNECTED(00000004)
depth=2 OU = GlobalSign Root CA - R2, O = GlobalSign, CN = GlobalSign
verify return:1
depth=1 C = US, O = Google Trust Services, CN = Google Internet Authority G3
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Google LLC, CN = imap.gmail.com
verify return:1
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google LLC/CN=imap.gmail.com
  i:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
1 s:/C=US/O=Google Trust Services/CN=Google Internet Authority G3
  i:/OU=GlobalSign Root CA - R2/O=GlobalSign/CN=GlobalSign
---


En Windows dudo mucho que te tengas que preocupar de añadir a GlobalSign como trusted... De todas maneras aquí explican como administrar los certificados.
Me llama la atención que en la carpeta de certificados intermedios de Windows 10 solo aparecen 3 certificados a diferencia de Windows XP en la que aparecen más de 200 certificados.
En ninguna de las carpetas de certificados de Windows 10 aparece "Google Internet Authority G3". Sí aparece en la carpeta de certificados intermedios de Windows XP y en Firefox 61.
¿los certificados intermedios hay que actualizarlos?
Veo que está próximo a caducar, el 21 de agosto de 2018, en este caso ¿cómo se renueva individualmente?
En varios sistemas también tengo instalada la versión anterior Google Internet Authority G2 ¿puede causar interferencias con el servidor de Google? Es decir, ¿puede el sistema tratar de usar la versión anterior en los clientes de correo en vez de la nueva?

Edito:
Leo lo siguiente
FAQ Sobre cambios de certificados en Google https://pki.google.com/faq.html
Certificado antiguo (raiz Geotrust) Repositorio G2 https://pki.google.com/
Certificado antiguo caducidad https://support.globalsign.com/customer/en/portal/articles/1426272-expiration-of-old-globalsign-2014-root-ca-certificate
Error por certificado antiguo:
https://textslashplain.com/2017/10/23/google-internet-authority-g3/
Certificado actual (raíz Globalsign) G3:
https://ssl-tools.net/subjects/f6edb0636232819a35f68d75a09d024a11aa6cad
Futuros (raíz Google Trust Services):
https://pki.goog/
Especificaciones del protocolo TLS: https://www.ietf.org/rfc/rfc2246.txt
Pero no acabo de resolver nada. En mi cliente en la negociación del protocolo recibo el error:
¿ SSLAlertProtocol - SSL: R270
No es posible abrir la conexión.