Список форумов antispamsniper.com/ru antispamsniper.com/ru
Индивидуальные средства защиты от спама
 
 FAQFAQ   ПоискПоиск     ПрофильПрофиль   ВходВход   РегистрацияРегистрация 

Sniper 3.3.1.5 и The Bat 5.0.34 - сертификаты

 
Начать новую тему   Ответить на тему    Список форумов antispamsniper.com/ru -> AntispamSniper для The Bat!
Предыдущая тема :: Следующая тема  
Автор Сообщение
Sierra



Зарегистрирован: 23.04.2016
Сообщения: 2

СообщениеДобавлено: Сб Апр 23, 2016 11:58 pm    Заголовок сообщения: Sniper 3.3.1.5 и The Bat 5.0.34 - сертификаты Ответить с цитатой

В Снайпере есть какая-то ошибка при обработке сертификатов SSL сервера.

1. Сертификаты хранятся, как я понимаю, в sslstg2.bin. При замене сертификата на сервере, Снайпер каким-то образом сам проверяет валидность сертификата и делает это с ошибкой. В случае ошибки, он подтягивает из своего хранилища старый сертификат в Root_CA.ABD и делает его валидным. Делается это вне зависимости от того, какой именно сертификат был реально получен по SSL.

2. То, что новый сертификат валиден, легко проверяется. Если отключить "Проверять учётные записи автоматически", "Добавлять новые учётные записи автоматически" и удалить все учётные записи, то в режиме Microsoft CryptoAPI и в режиме внутренней системы The Bat, новый сертификат прекрасно проходит проверку и работает.

3. Если после этого, удалить файл sslstg2.bin и включить все указанные выше опции, то Снайпер снова начинает проводить проверку сертификата и снова начинает давать ошибки на них.

Валидность сертификатов не вызывает подозрений, это настоящие сертификаты и правильно подписанные.

Основную озабоченность вызывает тот факт, что если не знать об этом и не обращать внимания на логи, то получается что Снайпер подсовывает в root старый сертификат из своего кэша, не уведомляя об этом никого.

Ошибка выяснилась совершенно случайно, при замене одного валидного сертификата, на другой, новый. Я чуть не нарушился, когда увидел в логе, что коннект проходит по старому сертификату, который был физически удалён с сервера Evil or Very Mad
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
admin
Автор


Зарегистрирован: 10.02.2006
Сообщения: 815

СообщениеДобавлено: Вс Апр 24, 2016 12:19 pm    Заголовок сообщения: Ответить с цитатой

Подмена сертификатов используется только для расшифровки данных SSL соединений на локальной машине, во время проверки заголовков на сервере и фильтрации IMAP. Именно эти подмененные сертификаты отображает TheBat в своих логах. Но для шифрования данных всех соединений с удаленным сервером всегда используется оригинальный сертификат сервера. Так что на степень защиты передаваемых по сети данных фильтрация никак не влияет.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить сообщения электронной почты
Sierra



Зарегистрирован: 23.04.2016
Сообщения: 2

СообщениеДобавлено: Пн Апр 25, 2016 6:38 am    Заголовок сообщения: Ответить с цитатой

admin писал(а):
Подмена сертификатов используется только для расшифровки данных SSL соединений на локальной машине, во время проверки заголовков на сервере и фильтрации IMAP. Именно эти подмененные сертификаты отображает TheBat в своих логах. Но для шифрования данных всех соединений с удаленным сервером всегда используется оригинальный сертификат сервера. Так что на степень защиты передаваемых по сети данных фильтрация никак не влияет.


Правильно ли я понимаю, что в таком случае, достаточно отключить опцию "Фильтровать защищённые соединения", чтобы оное безобразие прекратилось?

Вопрос не только в отображении в логах. Дело в том, что он пишет сертификаты в Root_CA.ABD, т.е. фактически валидирует их и не даёт прописаться нормальному сертификату. То, что шифрование проходит по новому сертификату, это понятно. Получается - два в итоге, три в уме Smile В логе и чейне одно написано, а реально работаем по другому, но как именно, никому не покажем и не скажем, ибо военное время.

Собственно, вопрос, наверное, надо сформулировать так: Что нужно сделать, чтобы замена сертификата на сервере проходила без подобных эксцессов со стороны Снайпера?

Ну и собственно вопрос в правильности алгоритма валидации сертификатов. Снайпер, по крайней мере в этой версии, не может по какой-то причине валидировать нормальный сертификат. Всё таки, Crypto API и внутренняя система Бата вполне с этой задачей справляются и с их точки зрения, проблем у сертификата нет. А их и вправду нет.

Может вы подскажете, какой алгоритм отработки чейна? Т.к. на сервере используется чейн двойной вложенности. Если при проверке depth будет нулевым или около того, то этого может и вправду не хватить.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
admin
Автор


Зарегистрирован: 10.02.2006
Сообщения: 815

СообщениеДобавлено: Пн Апр 25, 2016 9:29 am    Заголовок сообщения: Ответить с цитатой

Вот инструкция как все настроить чтобы в базу сертификатов ничего не писалось:
http://antispamsniper.com/ru/forum/viewtopic.php?t=871

Если в root_ca добавить вручную корневой сертификат плагина и записать его файлом в инсталляциюнную папку, плагин генерирует не самоподписанные сертификаты, а наследники своего корневого.

Если надо обеспечить какие-то особенные требования по безопасности, отключите фильтрацию SSL в настройках плагина на вкладке Учетные записи. Спам принятый по POP3 будет фильтроваться точно так же, но без проверки заголовков.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить сообщения электронной почты
Показать сообщения:   
Начать новую тему   Ответить на тему    Список форумов antispamsniper.com/ru -> AntispamSniper для The Bat! Часовой пояс: GMT +3:00
Страница 1 из 1

 
Перейти:  
Ты не можешь начинать темы
Ты не можешь отвечать на сообщения
Ты не можешь редактировать свои сообщения
Ты не можешь удалять свои сообщения
Ты не можешь голосовать в опросах


Powered by phpBB © 2001, 2005 phpBB Group