The Bat! 3.99.29, система XP SP3. 29 мая обновился сертификат серверов HostGator, на одном из которых у меня почта. The Bat! при TLS-соединении стал сообщать об отсутствии доверенного корневого сертификата. Записал новый сертификат сервера, полученный посредством OpenSSL, в файл; при открывании файла в CertMgr в окошке также было сообщение об отсутствии корневого сертификата.
Сертификат сервера выдан Comodo, на их сайте предлагается скачать и установить файлы AddTrustExternalCARoot.crt и PositiveSSLCA2.crt. Я установил их в Local Computer Store, после чего CertMgr при открывании сертификата стал отображать его валидность ("The certificate is OK"), однако The Bat! продолжал выдавать сообщение об ошибке. Переключение режима S/MIME между Internal Implementation и Microsoft CryptoAPI эффекта не давало.
Я обратился в службу поддержки RitLabs, сотрудник которой сообщил, что The Bat! вообще не использует для проверки сертификаты из системных хранилищ, и необходимо импортировать корневой сертификат в адресную книгу. Напрямую (в окне адресной книги) этого сделать не удалось ("No addresses have been imported"). Получилось только кружным путем - через импорт в окне "Edit Personal Certificates" в свойствах аккаунта, и кнопку "Add to Trusted" на вкладке Certification Path. После этого The Bat! стал принимать сертификат сервера, опять-таки независимо от режима S/MIME (Internal Implementation или Microsoft CryptoAPI).
Получается, что The Bat! всегда использует собственную базу сертификатов? Сотрудник техподдержки обосновывал такой подход якобы большей степенью безопасности, однако мне это не совсем понятно - база сертификатов располагается в каталогах текущего пользователя, и доступна этому пользователю (а также всем программам, которые запущены от его имени, с его ведома или без) для модификации, в то время как системные хранилища доступны рядовому пользователю только для чтения. Кто-нибудь может объяснить смысл такой политики?
Или это проблема только версий 3.x, и в версиях 4 и 5 уже возможна нормальная работа в режиме MS CryptoAPI, без привлечения локальной базы сертификатов?
Сертификат сервера выдан Comodo, на их сайте предлагается скачать и установить файлы AddTrustExternalCARoot.crt и PositiveSSLCA2.crt. Я установил их в Local Computer Store, после чего CertMgr при открывании сертификата стал отображать его валидность ("The certificate is OK"), однако The Bat! продолжал выдавать сообщение об ошибке. Переключение режима S/MIME между Internal Implementation и Microsoft CryptoAPI эффекта не давало.
Я обратился в службу поддержки RitLabs, сотрудник которой сообщил, что The Bat! вообще не использует для проверки сертификаты из системных хранилищ, и необходимо импортировать корневой сертификат в адресную книгу. Напрямую (в окне адресной книги) этого сделать не удалось ("No addresses have been imported"). Получилось только кружным путем - через импорт в окне "Edit Personal Certificates" в свойствах аккаунта, и кнопку "Add to Trusted" на вкладке Certification Path. После этого The Bat! стал принимать сертификат сервера, опять-таки независимо от режима S/MIME (Internal Implementation или Microsoft CryptoAPI).
Получается, что The Bat! всегда использует собственную базу сертификатов? Сотрудник техподдержки обосновывал такой подход якобы большей степенью безопасности, однако мне это не совсем понятно - база сертификатов располагается в каталогах текущего пользователя, и доступна этому пользователю (а также всем программам, которые запущены от его имени, с его ведома или без) для модификации, в то время как системные хранилища доступны рядовому пользователю только для чтения. Кто-нибудь может объяснить смысл такой политики?
Или это проблема только версий 3.x, и в версиях 4 и 5 уже возможна нормальная работа в режиме MS CryptoAPI, без привлечения локальной базы сертификатов?