Author Topic: [Запрос] Проверка сертификата - настройка на уровне учётной записи  (Read 6158 times)

0 Members and 1 Guest are viewing this topic.

Offline Белая рысь

  • Newbie
  • *
  • Posts: 18
  • Country: ru
Доброго дня, уважаемые.
В настройках сети есть такая фича: "Проверять подпись сертификатов SSL". Фича полезная, однако есть грабли.
У Яндекса есть услуга "Почта для домена". В рамках этой услуги предоставляется Jabber. И грабли скрываются именно тут.
В соответствии с RFC 3920 (XMPP Core), Section 5.1 (Use of TLS), при подключении к серверу Jabber проверяется соответствие сертификата не имени сервера, а имени jabber-домена. По вполне понятным причинам Яндекс не может для этого случая выписать корректный сертификат. Соответственно, если мы задействуем опцию "Проверять подпись сертификатов SSL", Jabber от почты для домена идёт лесом наиширочайшими шагами. А если мы НЕ задействуем эту опцию - сертификаты не проверяются в том числе там, где хотелось бы, чтобы проверка проводилась.
Может быть, имеет смысл, кроме глобальной настройки проверки сертификата, прикрутить аналогичную опцию на уровне учётных записей? С вариантами типа:
  • Использовать общие настройки
  • Проверять
  • Не проверять
Или, может быть, имеет смысл добавить диалог типа "Тут какой-то левый серт, доверять ему или ну нафиг?"