Thunderbird: ошибка: imap.server.com: сервер не поддерживает RFC 5746, см. CVE-2009-3555

Question

Я получаю эту ошибку при проверке почты и не могу загрузить почту. Я недавно обновил Thundirbird вчера, но он перезапустился и работал нормально в течение многих часов. Я видел этот вопрос: Как добавить учетную запись, когда Thunderbird предупреждает «потенциально уязвимы для CVE-2009-3555»?, что привело к https://wiki.mozilla.org/Security:Renegotiation, и я проверил мой редактор конфигурации, и следующие значения по умолчанию все еще остаются:

security.ssl.require_safe_negotiation;false
security.ssl.treat_unsafe_negotiation_as_broken;false
security.ssl.warn_missing_rfc5746;1

Я нашел оригинальные ссылки на эти ошибки, но они с 2010 года. Трудно поверить, что сервер не обновлялся с тех пор. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555, http://tools.ietf.org/html/rfc5746

Я попытался открыть соединение из командной строки, и оно работало нормально:

$ openssl s_client -connect imap.spamarrest.com:993
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
 0 s:/C=US/ST=Washington/L=Mercer Island/O=Spam Arrest LLC/CN=*.spamarrest.com
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2
 1 s:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=Washington/L=Mercer Island/O=Spam Arrest LLC/CN=*.spamarrest.com
issuer=/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2
---
No client certificate CA names sent
---
SSL handshake has read 3560 bytes and written 672 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: zlib compression
Expansion: zlib compression
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: E9038FFAE57B8F588299E197E5B5698AD51E595B6E2BFEEBA0ABA899ABDC1FCF
    Session-ID-ctx:
    Master-Key: 3CAD63BB946E9F696BD5259472E16A4C4616B41020A30C67A5CDDBC9BE063C702A0F0A7BE83AF98EB61D1F27A8B89E67
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket:
    0000 - e6 4e d4 d0 12 78 e6 ad-ce a5 b0 84 4d 59 ea 1d   .N...x......MY..
    0010 - fc a2 61 c2 36 e8 d5 a6-f2 3f da 74 b6 7a d7 c1   ..a.6....?.t.z..
    0020 - eb ac cf da 9a 21 02 70-da 85 38 d6 28 83 31 fe   .....!.p..8.(.1.
    0030 - e1 8d 14 ee 55 c7 02 5d-97 a3 3e cb d7 b8 70 de   ....U..]..>...p.
    0040 - 76 95 02 02 7c d8 5a 1a-f7 60 d8 fa ad f6 9f fb   v...|.Z..`......
    0050 - e1 30 92 ef 09 58 08 73-22 2c 1c bc 3c f0 a1 a5   .0...X.s",..<...
    0060 - a9 bd fb 09 52 a4 9d cd-6b a6 9c 5e 42 ab 7c b3   ....R...k..^B.|.
    0070 - 45 46 17 00 59 0a 3f b6-20 41 40 a3 2e 88 39 2c   EF..Y.?. A@...9,
    0080 - 4e 7d e6 09 ed 02 8f 3c-1e 9c 9c ce d9 88 cf 73   N}.....<.......s
    0090 - 0e d6 87 83 4a 86 30 13-22 16 9c 13 b8 17 fd ba   ....J.0.".......

    Compression: 1 (zlib compression)
    Start Time: 1434915194
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=CRAM-MD5 AUTH=PLAIN ACL ACL2=UNION] IMAP ready.
closed

Итак, как мне обойти эту проблему, чтобы получить мою почту? Я уже уведомил о поддержке сервера, но не получил ответ.

Thunderbird 38.0.1
OpenSSL 1.0.2a 19 марта 2015 г.

---

Это произошло в течение двух последовательных обновлений. Это ошибка с Thunderbird или почтовым сервером?

Метка времени: 19.08.2015 15:54:37 Ошибка: необработанное исключение: 2147746065

Отметка времени: 19.08.2015 15:54:37 Ошибка: mail.spamarrest.com: сервер не поддерживает RFC 5746, см. CVE-2009-3555

Answer 1

В RFC 5746 описывается расширение индикации повторного согласования безопасности транспортного уровня (TLS), которое предназначено для защиты от злоумышленников, внедряющих данные в соединение на раннем этапе и, таким образом, обманывающих клиентов и серверы для взаимодействия друг с другом таким образом, который уязвим для человека в средняя атака.

CVE-2009-3555 - это старый (в конце 2009 года) идентификатор общей уязвимости и уязвимостей, который в основном позволяет узнать больше о продуктах и версиях продуктов, которые уязвимы или не подвержены этой конкретной атаке. Он аналогичен идентификатору отчета об ошибке или номеру проблемы, который поставщик может назначить отчету о проблеме, за исключением того, что CVE могут (и в этом случае это действительно так) охватывать множество различных приложений.

Thunderbird информирует вас (хотя я согласен, определенно не очень удобным для пользователя способом), что сервер, к которому вы подключаетесь, не поддерживает стандарт, разработанный для снижения этой угрозы, и прерывает попытку подключения, потому что это потенциально Уязвимость безопасности, приводящая к потере конфиденциальности (в частности, конфиденциальности данных, в данном случае как учетных данных для аутентификации, так и трафика электронной почты).

Место, где это необходимо исправить, находится на почтовом сервере, к которому вы подключаетесь, поэтому вам следует настоятельно призвать вашего поставщика услуг немедленно обновить программное обеспечение до версии CVE-2009-3555. В качестве альтернативы, поскольку проблема была известна в течение шести лет, а исправление было стандартизировано в течение пяти с половиной лет, у меня возникли бы сомнения относительно того, какие другие потенциальные проблемы безопасности поставщик услуг не воспринимает всерьез, и лично он, вероятно, будет искать альтернативные услуги. провайдеры.

Если вас не волнует конфиденциальность, вы можете попытаться уменьшить это, отключив TLS/SSL в настройках своей учетной записи Thunderbird, таким образом используя обычную текстовую передачу почты между вашим клиентом Thunderbird и почтовым сервером. Это, однако, оставляет вас потенциально уязвимыми для различных угроз, включая всесторонний мониторинг. Кроме того, эта митигационная стратегия требует, чтобы почтовый сервер вашего поставщика услуг в первую очередь разрешал сеансы открытого текста; поставщики услуг все чаще и чаще конфигурируют свои системы так, что разрешены только зашифрованные соединения, особенно для аутентифицированных рабочих процессов. Следовательно, эта смягчающая стратегия может быть или не быть доступной в вашем конкретном случае, и даже если она не является рекомендуемым подходом.

Обратите внимание, что игнорирование этой проблемы (путем переключения на передачу простого текста по электронной почте) затрагивает не только вас, но и потенциально всех, с кем вы переписываетесь по электронной почте. Даже если вы (вопреки лучшим текущим практикам интернет-инжиниринга) считаете, что повсеместный мониторинг не является угрозой в вашей ситуации, те, с кем вы общаетесь, могут чувствовать себя иначе.