我使用了一个好的 MUA:Thunderbird [阅读/回复我在 Gmail 上的电子邮件]。
那么:如果我去一个地方,公共wifi在哪里,并且有人试图嗅探我的密码/用户名/电子邮件,会发生什么?
问题:
- gmail 是否只能通过带有 SSL 的 IMAP/SMTP 使用?[类似 sslstrip 的攻击可以获取我的密码?]
- 如果有人欺骗了“smtp.gmail.com”,那么 Thunderbird 会注意到,并抱怨 SSL 证书不好?
如果有人能在我脑海中清除这一点,我会很高兴:P
Thunderbird - 如果 Gmail SSL 证书被欺骗会发生什么?
信息安全
tls
证书
电子邮件
公钥基础设施
2021-09-07 18:31:14
1个回答
如果获得“错误的证书”,Thunderbird会抱怨。“错误证书”是包含错误名称(即它没有指定预期的服务器名称)或无法由 Thunderbird 验证的证书(未由 Thunderbird 信任的根 CA 直接或间接签名;无效在当前日期;或潜伏在 X.509 验证过程中的其他一百个测试中的任何一个)。
默认情况下,Thunderbird 信任大约 80 个根 CA。声称他们中的任何一个都不会被贿赂或被骗出假证书,这是一种信仰的飞跃。不过,您可以随意修剪该列表(首选项 -> 高级 -> 证书 -> 查看证书)。
此外,当 Thunderbird 抱怨时,它以非致命的方式这样做:用户仍然可以覆盖,并且就像单击“现在就做你这个白痴”按钮一样简单。拒绝证书意味着不阅读您的电子邮件;阅读电子邮件的冲动如此之大,以至于许多用户会轻易绕过安全警告而不会后悔,通常甚至没有阅读警告消息。