Email do gmail certificado nao confiavel?

[PreventDdos]

Olá pessoal,
bem desta vez quando eu tentei entrar no email da gmail,a primeira vez me deu isto :

There is a problem with this website's security certificate.


The security certificate presented by this website was not issued by a trusted certificate authority.

Security certificate problems may indicate an attempt to fool you or intercept any data you send to the server.
We recommend that you close this webpage and do not continue to this website.
Click here to close this webpage.
Continue to this website (not recommended).
More information


If you arrived at this page by clicking a link, check the website address in the address bar to be sure that it is the address you were expecting.
When going to a website with an address such as https://example.com, try adding the 'www' to the address, https://www.example.com.
If you choose to ignore this error and continue, do not enter private information into the website.

For more information, see "Certificate Errors" in Internet Explorer Help.

bem a opção bypass eu desabilitei no meu pc entao a descrição acima existe a opção pq eu clickei pra copiar o codigo ...
o fato é que clickei pra fechar a pagina e reabri o IE novamente e dai clickei pra visitar novamente e abriu normalmente, o que seria isso? tentativa de interceptar e capturar minha senha com uma pagina fake do gmail?
enfim ou é bug mesmo?
aguardo respostas,
Abraços

EDIT: acho que o problema esta relacionado com o hash algorightm na extended validation !!
adicionei Sha384RSA e agora esta aceitando antes estava somente Sha384ECDSA ,uma duvida surge qual o melhor?
deixando os 2 teria algum problema?
Agradeço desde já,
RR

[Birkoff]

EDIT: acho que o problema esta relacionado com o hash algorightm na extended validation !!
adicionei Sha384RSA e agora esta aceitando antes estava somente Sha384ECDSA ,uma duvida surge qual o melhor?
deixando os 2 teria algum problema?
Agradeço desde já,
RR

RSA é um algoritmo de criptografia assimétrica, ECDSA é outro. Se você não aceitar o algoritmo que o certificado foi assinado, o certificado não será validado, e vai te apresentar erros. Você precisa aceitar todos algoritmos usados pelos sites que você visita, no mínimo.

Não há o MENOR problema em deixar habilitado todos algoritmos ainda considerados seguros, ou seja, combinações de todas famílias de HASH SHA-2 (SHA256,384,512, etc.) com RSA/ECDSA.

Mas eu recomendaria deixar habilitado ainda o SHA-1 por algum tempo. Além de não ser quebrado ainda (apesar de que um dia não muuuito distante deve ser. NIST recomenda que se deixe de usar ele ano que vem), ele ainda é muito usado. Não dá pra descartá-lo ainda. E nem existe necessidade. Lembrando que MD5 teve seus primeiros ataques divulgados a muito tempo atrás, e foi eficazmente explorado pra SSL finalzinho do ano passado (e ai só que FINALMENTE desabilitaram o MD5 nos navegadores ;) )

[PreventDdos]

Olá Birkoff,
fico feliz por ter respondido ao meu topico :D!!!

Não há o MENOR problema em deixar habilitado todos algoritmos ainda considerados seguros, ou seja, combinações de todas famílias de HASH SHA-2 (SHA256,384,512, etc.) com RSA/ECDSA

pois é irmao era exatamente isso que eu precisava saber ^^ eu deixei abilitado Sha384ECDSA\Sha512RSA\Sha512ECDSA ouvi dizer que RSAe ECDSA tem a mesma forca porem RSA tem comprimentos maiores mas ECDSA tem um processamento mais eficiente\veloz!!
apos vc me dizer que RSA é um algoritimo de criptografia assimetrico suponho que seja mais dificil de quebrar que ECDSA pelo que li acerta da net,ou nao ambos tem funçoes distintas com a mesma eficacia?
agora com estes acima abilitados esta funcionando normalmente,o unico email que nao dá é do yahoo ha um bom tempo,deve estar revoked o cert deles !!

Lembrando que MD5 teve seus primeiros ataques divulgados a muito tempo atrás, e foi eficazmente explorado pra SSL finalzinho do ano passado (e ai só que FINALMENTE desabilitaram o MD5 nos navegadores

BirkOff quero tambem aproveitando o gancho sem querer te explorar muito mas já explorando,o que seria um MD2 nos certificados ,pois vejo que os certificados tem duas verificações de hash a primeira geralmente contem este MD2?
Desculpe se a pergunta é estupida mas tenho curiosidade em saber!
Desde já grato a paciencia,
Abraços

[Birkoff]

Olá Birkoff,
fico feliz por ter respondido ao meu topico :D!!!
pois é irmao era exatamente isso que eu precisava saber ^^ eu deixei abilitado Sha384ECDSA\Sha512RSA\Sha512ECDSA ouvi dizer que RSAe ECDSA tem a mesma forca porem RSA tem comprimentos maiores mas ECDSA tem um processamento mais eficiente\veloz!!
apos vc me dizer que RSA é um algoritimo de criptografia assimetrico suponho que seja mais dificil de quebrar que ECDSA pelo que li acerta da net,ou nao ambos tem funçoes distintas com a mesma eficacia?
agora com estes acima abilitados esta funcionando normalmente,o unico email que nao dá é do yahoo ha um bom tempo,deve estar revoked o cert deles !!

Tanto RSA quanto ECDSA são algoritmos de criptografia assimétrica. RSA se baseia na fatoração de números primos. ECDSA se baseia no problema do algoritmo discreto sobre curvas elípticas.

Ambos são fortes, se baseiam em problemas aceitos como sem solução em tempo polinomial.

ECDSA realmente usa chaves menores e é BEM mais rápido. Mas RSA ainda é muito mais usado (por questão de suporte de software e hardware mesmo... mesmo motivo pelo qual se usa muito o SHA-1 ainda)

Quanto aos que você deixou habilitado, você ainda vai ter problemas assim. Deixe pelo menos a família SHA-2 ativada, mas com todo respeito, acho "paranóia" demais desabilitar até o SHA-1 no momento em um desktop. E isso pq trabalho com criptografia todo dia ;)

BirkOff quero tambem aproveitando o gancho sem querer te explorar muito mas já explorando,o que seria um MD2 nos certificados ,pois vejo que os certificados tem duas verificações de hash a primeira geralmente contem este MD2?
Desculpe se a pergunta é estupida mas tenho curiosidade em saber!
Desde já grato a paciencia,
Abraços

MD2 é um hash antigo, muito inseguro. Anterior ao MD5. Onde você encontrou essa validação? Realmente não sei do que você está falando aqui.

[PreventDdos]

Fala Mestre BirkOff belza?

Tanto RSA quanto ECDSA são algoritmos de criptografia assimétrica. RSA se baseia na fatoração de números primos. ECDSA se baseia no problema do algoritmo discreto sobre curvas elípticas.

opa valew pela explanação nao sabia mesmo qual a diferença de um para outro,obrigado mesmo pela aula!! :D

Quanto aos que você deixou habilitado, você ainda vai ter problemas assim. Deixe pelo menos a família SHA-2 ativada, mas com todo respeito, acho "paranóia" demais desabilitar até o SHA-1 no momento em um desktop. E isso pq trabalho com criptografia todo dia

Pois é acho que fedeu-se hj nao consigui novamente entrar no email,tentei adicionar qqr um porem so funcionou o Sha-1 mesmo!!

MD2 é um hash antigo, muito inseguro. Anterior ao MD5. Onde você encontrou essa validação? Realmente não sei do que você está falando aqui.

ai esta a primeira screen shot que é da parte de cima do cert:



[img href="http://img101.imageshack.us/img101/9501/imagemmd2.gif"]Imagem teste[/img]

link diretp: http://img101.imageshack.us/img101/9501/imagemmd2.gif

imagem numero 2 com a parte debaixo no cert:

Link direto : http://img42.imageshack.us/img42/8972/sha1f.jpg

link teste : [img href="http://img42.imageshack.us/img42/8972/sha1f.jpg"] teste[/img]

link teste 2 :

qqr comentario complementar é mais que bem vindo!!!
abraços

PS: a primeira ´por razoes desconhecidas tive que mandar .gif pois no formato .jpg so aparecia o comecinho,e ja nao é a primeira vez que me occorre isso!!! enfim estao ai as imagens

[Birkoff]

Hmmmm

Estranho... certificado com md2? É um certificado válido ainda? Faz tempo que não fuço o repositório do windows, mas é estranho :)

Tá mais com cara de erro da MS em traduzir a label... Até pq o screenshot aparece ali que a política de certificação é sha512 com RSA. Talvez alguém esqueceu de adicionar um CASE no SWITCH e parou no default hehehe :X

Tem como exportar o certificado (Aquele copy to file deve fazer isso) e postar em algum lugar? Aí dá pra dizer melhor o que é isso...

Mas assim... o certificado só tem uma assinatura, nesse caso (se não for erro do software de leitura de certificados), seria usando chaves RSA com hash MD2.

[PreventDdos]

Pois é BirkOff,
estranho isso pois a maioria é md2 e só alguns md5,vai ai um detalhe que tvz seja importante,estes certs com hash md2 estao nos root certs mas no intermediate certificates o hash algorightm é sha1,tvz esteja ai alguma resposta..enfim sao os unicos que tenho e nao sei criar certs proprios por falta de conhecimento tecnico!
novamente qqr comentario é valioso!!
Abraços

[Birkoff]

É, eu que tava enganado... ainda tem certificados com MD2 nos respositórios mesmo, acabei de verificar. Acredito que logo devem desativar isso :/

Mas enfim. O certificado é assinado por Md2, só isso. Não é mais de uma assinatura.

[PreventDdos]

Fala BirkOff,
entao mas isso nao implica em nada nao é mesmo?
assim me deixa mais tranquilo com relação a isso..
Abraços e vlw pelo supporte brother!

[PreventDdos]

Bem problema com gmail solucionado!
descobri que por acidente eu subi o lockdown level na internet zone e deixei para high na GPO ou seja ,certificado com erros do tipo extended validation seriam bloqueados sem permitir rodar e deixar uma barra de aviso...
abraços