Вопрос: Почему Thunderbird подключается к порту 80 при проверке сертификатов?


Чтобы отслеживать мой сетевой трафик в OSX, я использую брандмауэр HandsOff! по метакине. Я заметил, что Thunderbird подключается только к порту 80 (http) при проверке обновлений сертификатов.

Это нормально?

Я использую Thunderbird уже несколько дней, и он никогда не выбирал устанавливать защищенные соединения на порту 443 (https) при проверке сертификатов.

enter image description here


1
2018-05-18 16:27


Источник


Возможно, новые сертификаты подписаны старыми? В конце концов, для использования SSL вам все равно придется доверять старым. Если это так, использование SSL (в HTTPS) не позволяет экономить деньги и существенно не влияет на целостность данных. - RedGrittyBrick
@RedGrittyBrick: экономит деньги? Это не похоже на то, что VeriSign должен купить Сертификаты SSL ... - grawity
@grawity: Я вспоминал аргументы, которые Зифер дал за не использование HTTPS на сайтах SE. ... - RedGrittyBrick
@grawity: хотя Jeff Attword, похоже, имеет изменил мнение на этом. Мое предположение может быть неправильным, или OTOH Mozilla / Verisign et al., Возможно, не догнал мышление Джеффа. - RedGrittyBrick


Ответы:


Как показывает ваш скриншот, Thunderbird создает соединения для получения списков отзыва сертификатов и проверки состояния сертификата с помощью OCSP. В обоих случаях SSL не требуется для обеспечения безопасности, поскольку списки отзыва X.509 и ответы OSCP всегда подписываются одним и тем же CA.


2
2018-05-18 17:27





В некотором роде это курица и яйцо. Если браузеру понадобилось проверить сертификат по SSL-соединению, тогда ему также нужно будет проверить сертификат SSL-соединения, но как он может проверить сертификат этого SSL-соединения?

Поэтому, если я пойду https://addons.mozilla.org то мне нужно проверить сертификат, используя OCSP, поэтому я подключаюсь к серверу OCSP, определенному в сертификате. Если я устал подключаться к серверу OCSP с использованием HTTPS, тогда мне нужно будет проверить сертификат сервера OCSP, но куда я могу его проверить?

Как указано в @grawity, шифрование не требуется для проверки проверки сертификата в ясном виде, поскольку PKI, используемый для сертификатов, уже предотвращает любые проблемы.


0
2018-05-18 18:44