Gmail décide à votre place à qui vous devez faire confiance
TL; DR :
Arrêtez d'utiliser Gmail.
Quid ?
Depuis le 12/12/12, Gmail a changé sa politique de vérification des certificats SSL.
Les certificats SSL permettent d'établir une connexion chiffrée entre un client et un serveur. (Plus d'infos)
Pour les néophytes, voici les grandes lignes :
- Une autorité de certification publie un message : "Je suis A, j'atteste que ce certificat est bien celui de B",
- B fournit un certificat sur son site web/service/serveur,
- Vous faites confiance à l'autorité de certification A,
- Quand vous cherchez à établir une connexion sécurisée avec B, comme vous faites confiance à A et que A vous assure l'identité de B, vous faites confiance à B.
Le problème réside dans les autorités de certification. Au Cr@ns, nos certificats sont délivrés par l'autorité CAcert, qui n'est pas reconnue comme "de confiance" par Gmail. Conséquence : quand vous demandez à Gmail d'aller relever vos mails sur les serveurs du Cr@ns, Gmail considère le certificat comme invalide et refuse d'établir la connexion.
Ce qu'il est possible de faire
- Rediriger ses mails Cr@ns vers l'adresse Gmail :
en éditant son .forward directement sur zamok, en effectuant les commandes suivantes :
ssh login@zamok.crans.org (rentrez votre mot de passe lorsqu'on vous le demande, et faites les deux commandes suivantes sur zamok)
echo "adressemail@domaine.ext" > ~/.forward
chmod 644 ~/.forward
ou en utilisant l'intranet : https://intranet.crans.org/monCompte/ onglet "mail", champ "Transfert".
- Arrêter d'utiliser Gmail et consulter directement sa boîte Cr@ns :
Ce qu'il ne faut pas faire
- Relever ses mails sans passer par SSL /!\.
- Taper sur les nounous, qui ne sont pas responsables des choix de Google en matière de sécurité ou de choix à la place de ses utilisateurs.
Won't fix ?
Mais euh, ça va continuer comme ça longtemps ?
Les nounous réfléchissent au problème. Il serait possible d'obtenir un certificat accepté par Google, mais cela va à l'encontre de la philosophie du Cr@ns sous deux aspects : d'une part, nous avons choisi CACert car c'est une autorité de certification basée sur un réseau de confiance ouvert (et pas, par exemple, sur l'achat de certificats), d'autre part, Gmail n'a, selon nous, pas à imposer à ses utilisateurs quelles autorités de certification il accepte.