Discussione:
thunderbird ssl e certificati
(troppo vecchio per rispondere)
fabio nigi
2006-05-08 19:20:10 UTC
Permalink
ciao a tutti,
sarò breve:
esiste un modo di dire a thunderbird di marcare un certificato come
buono e non chiederlo più?
il mio server di posta permette l uso di ssl sia per pop sia per smtp.
ma tutte le volte mi appare il pop-up per accettare il certificato!

Fabio
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Paolo Sala
2006-05-09 06:50:12 UTC
Permalink
Post by fabio nigi
ciao a tutti,
esiste un modo di dire a thunderbird di marcare un certificato come
buono e non chiederlo più?
Si.
Post by fabio nigi
il mio server di posta permette l uso di ssl sia per pop sia per smtp.
ma tutte le volte mi appare il pop-up per accettare il certificato!
Ma, utilizzo thunderbird con ssl e la prima volta che ho provato a
collegarmi al server di posta mi ha chiesto se accettare il certificato
per la sessione, per sempre o non accettarlo affatto. Gli ho detto di
accettarlo per sempre e non me ne sono più preoccupato. A te non lo
chiede? Prova anche a guardare nelle opzioni avanzate, dovrebbe esserci
un manager certificates (ho thunderbird in inglese...) dove ci sono
tutti i certificati che thunderbird considera trust.

...moolto strano. Ma cosa ti dice esattamente?

Piviul
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
RaSca
2006-05-09 10:00:33 UTC
Permalink
Post by fabio nigi
ciao a tutti,
esiste un modo di dire a thunderbird di marcare un certificato come
buono e non chiederlo più?
il mio server di posta permette l uso di ssl sia per pop sia per smtp.
ma tutte le volte mi appare il pop-up per accettare il certificato!
Purtroppo secondo me è un bel baco, o meglio, non esiste possibilità di
dare fiducia permanente ad un certificato.
Questo per dirti che anche io con due caselle ssl devo costantemente
premere ok per scaricare la posta. Magari con la versione 1.5 di
Thunderbird sta cosa è risolta, solo che al momento Etch ha ancora la
1.0.qualcosa...

Ciao,
--
RaSca
"Il regno dei cieli e' simile ad un mercante che va in cerca di
perle preziose. Trovatane una di grande valore va, vende tutti
i suoi averi e la compra" - Gesu' Cristo
http://web.tiscali.it/rascasoft
fabio nigi
2006-05-09 13:20:35 UTC
Permalink
Post by RaSca
Post by fabio nigi
ciao a tutti,
esiste un modo di dire a thunderbird di marcare un certificato come
buono e non chiederlo più?
il mio server di posta permette l uso di ssl sia per pop sia per smtp.
ma tutte le volte mi appare il pop-up per accettare il certificato!
Purtroppo secondo me è un bel baco, o meglio, non esiste possibilità di
dare fiducia permanente ad un certificato.
Questo per dirti che anche io con due caselle ssl devo costantemente
premere ok per scaricare la posta. Magari con la versione 1.5 di
Thunderbird sta cosa è risolta, solo che al momento Etch ha ancora la
1.0.qualcosa...
stesso problema identico,
io su sid ho la 1.5.0.2 e la cosa non cambia..
dalla gestione dei certicati non esiste il modo di importarli oltretutto.
passa la voglia di usare ssl!

Fabio
Post by RaSca
Ciao,
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
RaSca
2006-05-09 13:40:06 UTC
Permalink
[...]
per accettare il certificato o è un warning per via della CA non valida
o certificato self sign?
Decisamente un warning.
--
RaSca
"Il regno dei cieli e' simile ad un mercante che va in cerca di
perle preziose. Trovatane una di grande valore va, vende tutti
i suoi averi e la compra" - Gesu' Cristo
http://web.tiscali.it/rascasoft
RaSca
2006-05-09 13:50:17 UTC
Permalink
[...]
Post by RaSca
per accettare il certificato o è un warning per via della CA non valida
o certificato self sign?
Decisamente un warning.
Attenzione però, questa discussione mi ha fatto approfondire una cosa.
Il messaggio che ricevo è questo :

***

Errore di sicurezza : Mancata corrispondenza nome dominio

Si è cercato di stabilire una connessione con "localhost". Il
certificato che è stato offerto appartiene però a "miopop.ssl.it".
Esiste la possibilità che qualcun'altro stia cercando di intercettare la
comunicazione con il sito.

Se si sospetta che il certificato visualizzato non appartenga a
"localhost", si consiglia di annullare la connessione e avv
ertire l'amministratore di sistema.

***

E questo è logico, poichè per scaricare la posta devo ricorrere a dei
tunnel ssh verso l'unica macchina della rete attraverso la quale posso
raggiungere internet senza passare dal proxy della rete nella quale sono.
Solo che a questo punto l'unica soluzione sarebbe di disabilitare sto
warning o di far passare localhost come trusted...Ma non ho trovato
nulla in merito in Thunderbird...
--
RaSca
"Il regno dei cieli e' simile ad un mercante che va in cerca di
perle preziose. Trovatane una di grande valore va, vende tutti
i suoi averi e la compra" - Gesu' Cristo
http://web.tiscali.it/rascasoft
Alessandro De Zorzi
2006-05-09 14:40:40 UTC
Permalink
Post by RaSca
Decisamente un warning.
direi che allora è corretto, basta leggere,
andrei molto cauto con il parlare di bug

bisogna controllare corrispondeza dell'hostname e
importare il certificato della CA

in ogni caso concordo che è fastidioso in quando far firmare i
certificati dalle
comuni CA è costoso, certo si può usare cacert.org ma di default i
client non
avranno (per ora il certificato), inoltre non è agevole se non quasi
impossibile
creare certificati per diversi hostname con un solo IP

vedi:
http://openskills.info/infobox.php?ID=1383
http://openskills.info/infobox.php?ID=507

Alessandro
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
RaSca
2006-05-09 14:50:14 UTC
Permalink
Alessandro De Zorzi ha scritto:
[...]
Post by Alessandro De Zorzi
direi che allora è corretto, basta leggere,
andrei molto cauto con il parlare di bug
[...]

Verissimissimo, ritiro tutto. Il problema l'ho identificato ed esposto
nell'altro post.
--
RaSca
"Il regno dei cieli e' simile ad un mercante che va in cerca di
perle preziose. Trovatane una di grande valore va, vende tutti
i suoi averi e la compra" - Gesu' Cristo
http://web.tiscali.it/rascasoft
fabio nigi
2006-05-10 00:00:10 UTC
Permalink
Post by RaSca
[...]
per accettare il certificato o è un warning per via della CA non valida
o certificato self sign?
Decisamente un warning.
si ma almeno il mio non segnale niente di specifico, dice che esiste un
certifico, che "potrebbe" essere fasulle e a quel punto posso
accettarlo, vederlo in dettaglio:scadenza firme etc, o annullare la
connessione.

Fabio
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
fabio nigi
2006-05-15 16:50:15 UTC
Permalink
Post by fabio nigi
Post by RaSca
[...]
per accettare il certificato o è un warning per via della CA non valida
o certificato self sign?
Decisamente un warning.
si ma almeno il mio non segnale niente di specifico, dice che esiste un
certifico, che "potrebbe" essere fasulle e a quel punto posso
accettarlo, vederlo in dettaglio:scadenza firme etc, o annullare la
connessione.
ho trovato la soluzione con una extension
che permette di risolvere il problema che da quanto ho capito affligge molti

il nome della extension è Remember Mismatched Domains
https://addons.mozilla.org/thunderbird/2131/


Fabio
Post by fabio nigi
Fabio
Alessandro De Zorzi
2006-05-15 17:00:19 UTC
Permalink
Post by fabio nigi
ho trovato la soluzione con una extension
che permette di risolvere il problema che da quanto ho capito affligge molti
il fatto che sia extension e quindi non sia nel codice core
è comunque da tenere in considerazione

Alessandro
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
fabio nigi
2006-05-15 22:10:11 UTC
Permalink
Post by Alessandro De Zorzi
Post by fabio nigi
ho trovato la soluzione con una extension
che permette di risolvere il problema che da quanto ho capito affligge molti
il fatto che sia extension e quindi non sia nel codice core
è comunque da tenere in considerazione
cmq è una soluzione che ho risolto un pò con l accetta, in realtà lui
non considera più i certificati e quindi il problema è risolto..

quindi diciamo che ho abbattuto un pò il mio senso di paranoia per la
privacy per avere un pochino di comodità in più e non finire il tasto
del mouse a dare ok ogni 10 min. ;-)

Fabio
Post by Alessandro De Zorzi
Alessandro
Paolo Sala
2006-05-16 06:40:08 UTC
Permalink
Post by fabio nigi
Post by Alessandro De Zorzi
Post by fabio nigi
ho trovato la soluzione con una extension
che permette di risolvere il problema che da quanto ho capito affligge molti
il fatto che sia extension e quindi non sia nel codice core
è comunque da tenere in considerazione
cmq è una soluzione che ho risolto un pò con l accetta, in realtà lui
non considera più i certificati e quindi il problema è risolto..
quindi diciamo che ho abbattuto un pò il mio senso di paranoia per la
privacy per avere un pochino di comodità in più e non finire il tasto
del mouse a dare ok ogni 10 min. ;-)
Scusa non ho seguito tutto il thread ma mi chiedevo se il problema fosse
che il certificato è stato creato per un computer diverso da quello a
cui ti colleghi... mi spiego meglio: supponiamo che ti colleghi in ssl
ad un pop mail.dominio.it e che però il server si chiami localmente
pippo. A questo punto il certificato del server è a nome di pippo. TB
però non sa che pippo e mail.dominio.it sono lo stesso PC e così ti
avverte.

Se questo è il problema normalmente lo risolvo inserendo in /etc/hosts
l'host pippo con l'IP di mail.dominio.it. Non installi nulla ed è più
pulito... se invece il tuo problema è un altro allora spero mi possa
scusare di averti fatto perdere tempo a leggere 'ste strzt.

Ciao

Piviul
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
fabio nigi
2006-05-17 01:50:11 UTC
Permalink
Post by Paolo Sala
Scusa non ho seguito tutto il thread ma mi chiedevo se il problema fosse
che il certificato è stato creato per un computer diverso da quello a
cui ti colleghi... mi spiego meglio: supponiamo che ti colleghi in ssl
ad un pop mail.dominio.it e che però il server si chiami localmente
pippo. A questo punto il certificato del server è a nome di pippo. TB
però non sa che pippo e mail.dominio.it sono lo stesso PC e così ti
avverte.
il problema è proprio quello, solo che mi collego da molti punti
differenti, a seconda di dove mi trovo..
e a volte molto spesso anche se ancora non ho capito perchè me lo fa
pure da casa.

per fortuna ho trovato questa extensione che praticamente annulla il
pop-up sui domini che gli indichi nella conf.
Post by Paolo Sala
Se questo è il problema normalmente lo risolvo inserendo in /etc/hosts
l'host pippo con l'IP di mail.dominio.it. Non installi nulla ed è più
pulito... se invece il tuo problema è un altro allora spero mi possa
scusare di averti fatto perdere tempo a leggere 'ste strzt.
per niente stronzate..
anzi direi pure che è una soluzione decisamente elegante.

Fabio
Post by Paolo Sala
Ciao
Piviul
Alessandro De Zorzi
2006-05-09 13:40:15 UTC
Permalink
Post by fabio nigi
ciao a tutti,
esiste un modo di dire a thunderbird di marcare un certificato come
buono e non chiederlo più?
il mio server di posta permette l uso di ssl sia per pop sia per smtp.
ma tutte le volte mi appare il pop-up per accettare il certificato!
per accettare il certificato o è un warning per via della CA non valida
o certificato self sign?

Alessandro
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
fabio nigi
2006-05-09 23:50:08 UTC
Permalink
Post by fabio nigi
ciao a tutti,
esiste un modo di dire a thunderbird di marcare un certificato come
buono e non chiederlo più?
il mio server di posta permette l uso di ssl sia per pop sia per smtp.
ma tutte le volte mi appare il pop-up per accettare il certificato!
per accettare il certificato o è un warning per via della CA non valida
o certificato self sign?
no no, il certificato va bene, serve per accettarlo, solo che lo
ripropone tutte e dico tutte le volte che si connette, per ogni check e
per ogni mail che invia!

Fabio
Alessandro
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
debian-italian-***@lists.debian.org con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a ***@lists.debian.org

To UNSUBSCRIBE, email to debian-italian-***@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact ***@lists.debian.org
Loading...