Jak zjistit certifikát IMAP serveru?

[PaSt .]

  Dobrý den,

existuje způsob jak zjistit se strany klienta jakým certifikátem je zašifrované IMAP spojení ze strany klienta, prosím? Třeba i příkazovou řádkou..?

Děkuji, P.

[Reklama]

[Filip Jirsák]

Vy se k IMAPu přihlašujete klientským certifikátem? O tom dost pochybuju (a pokud ano, měl byste ten certifikát s privátním klíčem někde v konfiguraci klienta).

Bude lepší napsat, jaký problém řešíte. Pak vám někdo může poradit.

[czipis]

Kód: [Vybrat]

openssl s_client -connect imap.seznam.cz:993 -showcerts

[Filip Jirsák]

Kód: [Vybrat]

openssl s_client -connect imap.seznam.cz:993 -showcerts

To je ovšem certifikát serveru. PaSt psal „zašifrované IMAP spojení ze strany klienta“ – těžko říct, co to znamená.

[LolPhirae]

Dotaz opět pochopili všichni mínus Jirsák. 

[Reklama]

[redustin]

Nicméně má pravdu, nadpis mluví o certifikátu serveru a text o certifikátu klienta. Tazatel zřejmě myslel certifikát serveru, leč bylo by vhodné, aby to upřesnil.

[František Ryšánek]

Připojuji se k nepochopení vyjádřenému panem Jirsákem :-) a zároveň si dovolím trochu rozvinout Czipisovu odpověď:

Kód: [Vybrat]

openssl s_client -connect imap.seznam.cz:993 -showcerts | openssl x509 -text -noout

[dzavy]

Kód: [Vybrat]

openssl s_client -connect imap.seznam.cz:993 -showcerts

Tohle funguje pro implicitní SSL na portu 993. Pro explicitní na portu 143 je potřeba ještě doplnit -starttls imap.

[jjrsk]

Ehm lol ...
Funguje to kupoduvu presne stejne jako vsechny ostatni protokoly, vcetne treba https ze?

Jinak receno, klient pouziva verejnou cast klice, kterym data sifruje a server to svou privatni casti desifruje, jak slozite ...
Funguje to tak samozrejme obousmerne (tzn cas od casu si obe strany vymenuji ty verejne klice).  A proto jaksi nedava zadny smysl ho nejak zjistovat, je to jen nejaky hasnumero v ramce ktere za 10 minut uz nebude existovat.

Jinak na to zjistovani se da pouzivat i nmap

Kód: [Vybrat]

nmap   --script ssl-cert,ssl-enum-ciphers  -p 443 root.cz
Coz je pekna vostuda co, soudruhove z rootu provozujou deravy tls.

[PaSt .]

Vy se k IMAPu přihlašujete klientským certifikátem? O tom dost pochybuju (a pokud ano, měl byste ten certifikát s privátním klíčem někde v konfiguraci klienta).

Bude lepší napsat, jaký problém řešíte. Pak vám někdo může poradit.

Omlouvám se za nepřesné vyjádření - šlo o to jak na klientovi zjistit jaký certifikát nabízí _server_. Mea culpa, mea maxima culpa.

Řeším problém, že email server, který do teď racoval bez problému s self signed certifikátem na Apple iOS 17.x, je od poslední aktualizace na iOS18 z telefonu nedostupný. V diskusích jsem našel, že problém je v self signed i přes to, že mám svoji CA a její cert do telefonu naimportovaný, nicméně tuto CA Apple ať naschvál, nebo nevědomky, začal ignorovat, takže nemohu číst vlastní e-maily.
  Řešením má být naimplementovat Let's Encrypt, jehož root CA Apple uznává, ale teď se trochu motám v nastavení serveru a přestože bych měl mít vše v pořádku, mám dojem, že mi pořád někde visí starý self-signed cert.

 Z  toho pramení potřeba zjistit, co za cert vlastně IMAP klient použije k sestavení spojení.

  Odpověď jsem díky

openssl s_client -connect imap.seznam.cz:993 -showcerts

dostal.

Děkuji mnohokrát za všechny odpovědi.

P.

[Filip Jirsák]

Řeším problém, že email server, který do teď racoval bez problému s self signed certifikátem na Apple iOS 17.x, je od poslední aktualizace na iOS18 z telefonu nedostupný. V diskusích jsem našel, že problém je v self signed i přes to, že mám svoji CA a její cert do telefonu naimportovaný, nicméně tuto CA Apple ať naschvál, nebo nevědomky, začal ignorovat, takže nemohu číst vlastní e-maily.

Za prvé, certifikát může být podepsaný buď certifikátem autority, nebo je podepsaný svým vlastním klíčem (self-signed). Pokud máte svoji CA a jí je vydaný certifikát, není ten koncový certifikát self-signed. Tolik k terminologii.

Co se týče uznávání certifikačních autorit – všichni (prohlížeče, operační systémy) zpřísňují pravidla pro certifikační autority, a to i pro ty soukromé. Dříve jste si jako soukromou CA mohl udělat jakýkoli certifikát – s libovolně malým klíčem, s libovolně zastaralým algoritmem, s libovolně dlouhou platností. To už dávno neplatí.

[XXX_Sam_XXX]

Řeším problém, že email server, který do teď racoval bez problému....

Mimochodem, co to je za mail server, jak máš řešeno přihlašování k IMAP, jak je to publikované do internetu?
 
Brutefore na IMAP je dost časté. Např. u Microsoftu se na mailových serverech už IMAP a všechny legacy protokoly zakazují, protože se tam nedá vynutit MFA.

[RDa]

Brutefore na IMAP je dost časté. Např. u Microsoftu se na mailových serverech už IMAP a všechny legacy protokoly zakazují, protože se tam nedá vynutit MFA.

A kdyz je to SSL, proc tam neni prihlasovani osobnim certifikatem, ktery bude schovan treba v TPM pod hleslem a otiskem?

[mikesznovu]

openssl s_client -connect imap.seznam.cz:993 -showcerts

Díky, o tom jsem nevěděl, já to rubal takhle doteď
openssl s_client -connect target.com:25 -starttls smtp -name rev.fuka.cz|openssl x509 -noout -dates -ext subjectAltName

(případně se  to může hodit, má to jiný formát, stručnější)