我正在尝试使用 Outlook 2007 和 POP3 通过 SSL 接收邮件,但每次尝试接收邮件时都会收到此安全警告:
您所连接的服务器正在使用无法验证的安全证书。目标主体名称不正确。
当我打开证书时,我在第一个选项卡(常规)中看到此消息:
无法验证此证书的所有预期用途。
颁发者:GeoTrust SSL CA
颁发给:*.justhost.com
它是值得信赖的提供商之一。
您认为这是中间人攻击还是安全风险?或者这只是一种我可以忽略的证书错误?
答案1
公正主机是一家托管服务提供商,如果您/您的公司在其非专用服务器上托管您的邮件服务,则此伞状通配符证书将用于保护连接。
SSL/TLS 有一个限制,即在建立安全套接字之前,客户端连接的主机名不会向服务器透露。这意味着服务器必须盲目地提供默认证书,即您看到的“*.justhost.com”。
因此,如果您通过公司的别名域(例如 mail.company.com)访问邮件服务器,则会发生证书主题不匹配的情况。您可以使用以下步骤找到要使用的正确域:
ping
您的邮件服务器获取其 IP 地址- 使用
nslookup
或谁是获取服务器的主机名。主机名应以“justhost.com”结尾,该名称受通配符证书的保护。 - 将 Outlook 中的 POP/IMAP 服务器和 SMTP 服务器地址替换为主机名
答案2
首先更新您的操作系统 CRL(证书吊销列表),最近有很多 CA 被黑客入侵。
主机名称与认证名称相同。如果是子域,则应为该子域颁发证书那子域,或在整个域内有效。检查证书的预期用途,它无法用来加密您的 pop3 连接(请注意,它是尽管可以有效地对它们进行加密。
如果认证域名是受信任的,我会检查其名称,那么这些错误不太可能带来安全风险。
答案3
我认为您不应该忽略警告,而应该联系服务器支持并询问发生了什么。“目标主体名称不正确”消息可能意味着主机 A.com 将颁发的服务器证书发送给“B.com”。当管理多个主机时,这是一个常见的配置问题(code.google.com 有同样的问题),因此这里可能没有安全问题。但为了确保万无一失(特别是如果您生活在自由度有限的国家),在收到服务器管理员的评论之前,您不应该假设一切都很好。