O Thunderbird não confia no certificado assinado com autoridade auto-assinada

2

Eu gerou uma autoridade de certificado autoassinado usando mydomain.org como o nome comum. Eu importei o certificado público usando o gerenciador de certificados do Thunderbird na guia "Autoridades". Até aí tudo bem.

Em seguida, usando essa CA, eu gerou (e assinei) um certificado para mail.mydomain.org, mas, embora eu tenha importado a autoridade de certificação, continuo recebendo o pop-up "Add Security Exception" com a mensagem "Unknown Identity" quando estou tentando conectar pela primeira vez. Aqui está uma captura de tela que ilustra a situação:

Observação:aautoridadedecertificaçãoeocertificadodeemailsãoassinadosusando"SHA-1 com criptografia RSA". Nota 2: Entendo que devo obter um certificado de uma autoridade confiável, esta é uma solução temporária.

Então, minhas perguntas são:

1) Esse comportamento é normal?
2) Como posso "convencer" o Thunderbird de que todos os certificados assinados pela minha CA são confiáveis?

UPDATE

% openssl s_client -connect mail.mydomain.org:993
CONNECTED(00000003)
depth=1 <snip> CN = mydomain.org, <snip>
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/<snip>/CN=mail.mydomain.org/<snip>
   i:/<snip>/CN=mydomain.org/<snip>
 1 s:/<snip>/CN=mydomain.org/<snip>
   i:/<snip>/CN=mydomain.org/<snip>
---
Server certificate
-----BEGIN CERTIFICATE-----
<BASE64>
-----END CERTIFICATE-----
subject=/<snip>/CN=mail.mydomain.org/<snip>
issuer=/<snip>/CN=mydomain.org/<snip>
---
No client certificate CA names sent
---
SSL handshake has read 2807 bytes and written 567 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
<long apparently irrelevant output snipped>
    Verify return code: 19 (self signed certificate in certificate chain)
---
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2011 Double Precision, Inc.  See COPYING for distribution information.
    
por s3v3n 20.08.2013 / 02:15

2 respostas

2

  1. No Mozilla Thunderbird, vá para Ferramentas → Opções → Avançadas → guia Certificados.
  2. Clique em Exibir certificados e vá para a guia Servidores.
  3. Clique em Adicionar exceção.
  4. Insira o nome do seu servidor de e-mail e clique em Obter certificado.
    Não se esqueça de usar o número da porta do servidor de email.
    Exemplo: mail.provider.com:993
  5. Salve a exceção.

Fonte: link

    
por 08.09.2014 / 21:34
1

Eu tive o mesmo problema. A fonte no meu caso foi a CA não foi criada com -extensions v3_ca que o Firefox não se importa, mas o Thunderbird parece exigir uma assinatura "válida"

    
por 18.11.2014 / 21:31