Thebat! vs gmail: сервер не предоставил корневой сертификат в сессии
В качестве десктопного почтового клиента я использую TheBat! – очень удобная программка. С регулярной периодичностью рассматриваю аналоги, но все таки не могу подобрать что-то лучшее, где можно будет работать сразу с большим количеством ящиков.
Особых проблем никогда не было, но сегодня получил вот такое сообщение при проверке gmail аккаунтов:
Сервер не предоставил корневой сертификат в сессии и соответствующий корневой сертификат не найден в адресной книге.
Это соединение не может быть секретным. Пожалуйста, свяжитесь с администратором Вашего ресурса.
Как же от него избавиться?
Сообщение выглядит так:
После не продолжительного гугления, оказалось все довольно просто:
1) Открываем окно TheBat!
2) В верхнем меню идем в “Свойства”>”S/Mime и TLS”
3) В открывшемся окне выбираем: [*] “Microsoft CryptoAPI”, вместо “Внутренняя”
4) Жмем [Ок]
После этих настроек сообщение перестало появляться и все заработало
[добавлено 17.04.2021]
Нашел причину по которой появилась данная проблема, в моем случае. У меня пересоздавался зеркальный raid и я, на время, при работающем TheBat!, переместил папку TheBat!/Data Folder, в которой он хранит информацию по аккаунтам. Как только вернул её, почтовик продолжил работать со старыми параметрами.
Использование email сертификата в the bat! )
Вы создаёте сертификат для своего почтового адреса, авторитетное доверенное третье лицо проверяет соответствие действительности введенной информации и выдаёт разрешение на использование этого сертификата. Данным сертификатом Вы подписываете каждое исходящее сообщение.
При получении Вашего письма адресат видит, что письмо подписано и Ваша подпись проверенна и подтверждена третьим лицом , так называемым «центром сертификации». Теперь, если по пути письмо попытались изменить, или просто его отправляли от Вашего имени, подпись станет недействительной и получатель поймёт, что письмо не от Вас.
Общепризнанные центры сертификации, как правило платные. Общепризнанность выражается в том, что подлинность подписей на выданных ими сертификатах можно проверить по встроенным в почтовые агенты и браузеры сертификатам этих CA. Т.е. пользовательские программы доверяют им по умолчанию.
Вы можете получить серверные сертификаты у общепризнанных CA – VeriSign, Thawte, GlobalSign, TrustWave, Comodo Украина, как обычно, «прощелкала» в свое время создание подобного центра сертификации 😉 Сертификаты может в принципе выпускать любая компания.
Во многих случаях используются самовыданные сертификаты или сертификаты не включенных в списки доверенных CA. Главное, чтобы эти сертификаты признавались пользователями. В этом случае пользовательская программа выдает окошко с вопросом, доверяет ли пользователь этому центру сертификации.
Настройка шифрования почты в the bat.
Как настроить шифрование почты (S/MIME) в The Bat . Это продолжение статьи Защита электронной почты. Шифрование почты. Получение сертификата.
The Bat поддерживает две технологии защиты информации: PGP и PKI (S/MIME). В этой статье речь пойдет только о технологии PKI (S/MIME).
Подразумевается, что сертификат для шифрования почты уже получен.
Загружаем Bat, открываем настройки шифрования в меню Свойства -> Настройки S/MIME и TLS… Здесь перед нами встает выбор: использовать внутреннюю реализацию S/MIME или Microsoft CryptoAPI. При выборе внутренней реализации сертификаты будут находиться в хранилище Bat.
Импорт/экспорт сертификатов будет осуществляться через интерфейс Bat. Также для корректной работы потребуется импорт корневых сертификатов и внесение их в список доверенных. При выборе Microsoft CryptoAPI используется хранилище сертификатов Windows.
Импорт/экспорт осуществляется через стандартные процедуры операционной системы. Лично я считаю этот вариант более удобным. Однако, если вы работаете в Windows XP, и вам нужен максимальный уровень безопасности, в этом случае следует использовать криптопровайдер Bat.
Он обеспечивает лучший набор алгоритмов шифрования по сравнению с стандартным Microsoft Enhanced Cryptographic Provider v1.0 (доступны алгоритмы AES 128 и 256-бит). В Vista добавлена встроенная поддержка AES, поэтому данная рекомендация относиться только к XP.
Для начала рассмотрим настройку с помощью Microsoft CryptoAPI (Win XP).
Использование Microsoft CryptoAPI
В списке криптопровайдеров выбираем Microsoft Enhanced Cryptographic Provider v1.0 (как обеспечивающий наилучшее шифрование). В списке также присутствует Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype), однако, с его помощью зашифровать письмо у меня не получилось (вместо AES 256-бит, письмо зашифровывалось алгоритмом RC2).
Использовать это криптопровайдер не рекомендую. Алгоритм шифрования: 3DES. Хеш-алгоритм подписи: SHA-1. Отмечаем опции “Помнить связи e-mail адресов с сертификатами для подписи” и “Помнить связи e-mail адресов с сертификатами для шифрования”.
Импорт сертификата из подписанного письма. Выделяем письмо, далее в меню Инструменты -> Криптография и безопасность -> Импортировать ключ (сертификат). Откроется мастер импорта сертификатов. Нажимаем Далее. В следующем окне оставляем выбранной опцию “Автоматически выбрать хранилище на основе типа сертификата” и Далее.
Настройка шифрования с помощью внутреннего криптопровайдера Bat.
Использование внутреннего криптопровайдера Bat
Алгоритм шифрования выбираем: AES (256-бит). Хеш-алгоритм подписи: SHA-1.
Следующий этап – импорт сертификата вашего почтового ящика в хранилище Bat. Если вы следовали предыдущей статье, то ваш сертификат находится в хранилище Windows из которого его надо предварительно экспортировать. Если же у вас уже есть файл сертификата в формате PKCS#12 (.PFX), то вы можете сразу перейти к разделу Импорт сертификата.
Экспорт сертификата Открываем Панель управления -> Свойства обозревателя -> вкладка Содержание -> кнопка Сертификаты Переходим на закладку Личные, выделяем нужный сертификат, нажимаем кнопку Экспорт. Откроется мастер экспорта сертификатов.
Нажимаем Далее. В следующем окне необходимо выбрать опцию “Да, экспортировать закрытый ключ”, нажимаем Далее. Выбор формата файла сертификата. Оставляем значения по умолчанию: файл обмена личной информацией – PKCS#12 (.PFX), опция “Усиленная защита” включена.
Нажимаем Далее. Вводим пароль закрытого ключа. Этот пароль будет запрашиваться каждый раз при доступе к закрытому ключу. Т.е. каждый раз при расшифровке/зашифровке письма (учтите это). Можно ввести пустой пароль, но это сильно понизит уровень безопасности. Далее выбираем имя и расположение экспортируемого файла. Нажимаем Далее и затем Готово.
Импорт сертификата Открываем Адресную книгу и создаем контакт для СВОЕГО адреса e-mail. Если включен внутренний криптопровайдер Bat, то в адресной книге будет доступна вкладка Сертификаты. Открываем ее и нажимаем кнопку Импортировать. Выбираем сохраненный сертификат. Появится окно для ввода пароля закрытого ключа:
Импорт сертификата в хранилище Bat
Вводим пароль. Появится похожее окно, в него опять вводим тот же пароль. После этого в списке сертификатов должен появится новый сертификат.
Теперь двойным щелчком открываем его. Если в сведениях о сертификате будет надпись – “Этот S/MIME сертификат недействителен”, в этом случае необходимо добавить корневой сертификат в список доверенных. Для этого открываем вкладку Путь сертификации:
Добавление корневого сертификата в список доверенных
Выделяем корневой сертификат (в примере AAA Certificate Services) и нажимаем кнопку Добавить к доверенным. На вопрос, действительно ли мы хотим это сделать, отвечаем Да. На этом импорт сертификата завершен.
Импорт сертификата из подписанного письма. Выделяем письмо, далее в меню Инструменты -> Криптография и безопасность -> Импортировать ключ (сертификат). После этого появится сообщение о количестве импортированных сертификатов (может быть более одного, если импортируются отсутствующие вышестоящие сертификаты).
Сертификаты автоматически добавляются к существующим контактам в адресной книге. Если адрес e-mail не был заведен, то соответствующий ему контакт будет создан автоматически. Для некоторых сертификатов может потребоваться процедура добавления корневого сертификата в список доверенных. В этом случае выполняем описанную выше процедуру.
Теперь мы готовы к отправке подписанных и/или зашифрованных сообщений.
Зашифровать/подписать письмо можно с помощью соответствующих кнопок на панели инструментов в окне создания письма. Расшифровка письма/проверка подлинности подписи выполняется с помощью значка в виде письма в правом верхнем углу окна просмотра сообщения.
Странность Bat. Я так и не нашел где можно узнать с помощью какого алгоритма зашифровано письмо… Непонятно…
источник
Настройка эцп the bat
Важное замечание. При запросе программы The Bat включить шифрование почтового ящика «On-the-fly encryption» следует отказаться.
Для настройки почтового ящика на работу с электронной подписью выполните следующие действия:
Заполните поля «Ваше имя», «Электронный адрес», «Пароль», «Протокол» в соответствии с Таблицей 1.
Укажите параметры IMAP и проверьте соединение нажав кнопку «Проверить»
Разрешите доступ приложению
Укажите параметры SMTP. Нажимать кнопку «Проверить» не рекомендуется, так как вероятен сбой программы
Укажите сведения об учётной записи
Откройте настройки S/MIME и TLS в программе The Bat
Выберите криптопровайдер Crypto-Pro и соответствующие алгоритмы
Откройте свойства почтового ящика
Включите простановку электронной подписи перед отправкой сообщений
Создайте электронное сообщение для одного из абонентов согласно Таблице 1, и убедитесь, что нажат переключатель простановки электронной подписи
Нажмите кнопку «Отправить». Выберите сертификат.
Для проверки электронной подписи сообщения нужно выбрать подписанное сообщение в разделе «Входящие» и нажать кнопку проверки
Появится окно с результатами проверки электронной подписи
При нажатии «Посмотреть свойства сертификата» будут выведены полные характеристики сертификата подписавшего лица
источник
Сертификат let’s encrypt истёк: быстрое решение
Некоторых пользователей The Bat! коснулась проблема истёкшего сертификата Let‘s Encrypt для защищенных соединений. В ближайшее время вы выпустим новую версию The Bat! с обновленным сертификатом, а пока вы можете быстро решить эту проблему, следуя инструкции:
1. Загрузите новый сертификат Let’s Encrypt: https://letsencrypt.org/certs/isrgrootx1.pem
2. Перейдите в адресную книгу The Bat! И включите отображение книг сертификатов через меню “Вид”
3. Выберите книгу Trusted Root CA и найдите контакт DST Root CA X3 в списке, откройте свойства контакт, кликнув по нему два раза левой кнопкой мышки.
Внимание: если вы не находите запись DST Root CA X3, создайте новый контакт в адресной книге Trusted Root CA и назовите его DST Root CA X3.
4. Перейдите на вкладку Сертификаты, выберите истёкший сертификат и нажмите кнопку “Удалить”.
5. После того, как вы удалите старый сертификат, нажмите кнопку “Импортировать” и выберете обновленный сертификат, который вы загрузили на компьютер (см. шаг 1).
6. Нажмите два раза левой кнопкой мышки на сертификат, чтобы просмотреть его, переключитесь на вкладку Путь сертификации и проверьте состояние сертификата — убедитесь, что он действителен.
Нажмите ОК, чтобы сохранить изменения — проблема решена!
Установка email сертификата
- Почтовый ящик —> «Свойства» —> «Общие сведения» —> Кнопка «Сертификаты» —>
Закладка «Сертификаты» —> «Импортировать» —> Выберите Ваш импортируемый сертификат —>
Закладка «Сертификаты» —> «Просмотреть» —> Выберите импортированный сертификат —> Кнопка «Просмотреть» —>
Закладка «Сертификат» —> Общие —> Нажмите кнопочку «Добавить в адресную книгу»
Цифровая подпись письма
Создайте письмо, нажмите кнопочку оптравить, введите пароль на вашу цифровую подпись — Все !
Письмо будет подписано и адресат его получит в таком виде
источник