Доброго дня, уважаемые.
В настройках сети есть такая фича: "Проверять подпись сертификатов SSL". Фича полезная, однако есть грабли.
У Яндекса есть услуга "Почта для домена". В рамках этой услуги предоставляется Jabber. И грабли скрываются именно тут.
В соответствии с RFC 3920 (XMPP Core), Section 5.1 (Use of TLS), при подключении к серверу Jabber проверяется соответствие сертификата не имени сервера, а имени jabber-домена. По вполне понятным причинам Яндекс не может для этого случая выписать корректный сертификат. Соответственно, если мы задействуем опцию "Проверять подпись сертификатов SSL", Jabber от почты для домена идёт лесом наиширочайшими шагами. А если мы НЕ задействуем эту опцию - сертификаты не проверяются в том числе там, где хотелось бы, чтобы проверка проводилась.
Может быть, имеет смысл, кроме глобальной настройки проверки сертификата, прикрутить аналогичную опцию на уровне учётных записей? С вариантами типа:
- Использовать общие настройки
- Проверять
- Не проверять
Или, может быть, имеет смысл добавить диалог типа "Тут какой-то левый серт, доверять ему или ну нафиг?"