Jak działają certyfikaty SSL w połączeniach pocztowych?

Gdy eM Client łączy się z serwerem poczty przez SSL/TLS, serwer przedstawia swój certyfikat cyfrowy. Certyfikat ten potwierdza tożsamość serwera i zawiera klucz publiczny do szyfrowania połączenia.

Certyfikat jest weryfikowany przez system operacyjny:

1. System sprawdza, czy certyfikat jest podpisany przez znany Urząd Certyfikacji (CA).
2. Sprawdza, czy certyfikat nie wygasł.
3. Sprawdza, czy nazwa hosta w certyfikacie odpowiada adresowi serwera.
4. Sprawdza, czy certyfikat nie został unieważniony (CRL/OCSP).

Jeśli którykolwiek z tych warunków nie jest spełniony, eM Client wyświetla ostrzeżenie o certyfikacie lub błąd połączenia.

Dlaczego eM Client nie pobiera certyfikatów automatycznie?

eM Client nie ma wbudowanego mechanizmu automatycznego pobierania brakujących certyfikatów CA. Jest to świadoma decyzja projektowa ze względów bezpieczeństwa:

• Bezpieczeństwo — automatyczne pobieranie certyfikatów mogłoby zostać wykorzystane do ataku MITM, gdzie złośliwy CA zainstalowałby niezaufany certyfikat.
• Kontrola systemu — zarządzanie zaufanymi CA jest zadaniem systemu operacyjnego (Windows Update, macOS aktualizacje). eM Client korzysta z systemowego magazynu certyfikatów.
• Odpowiedzialność — decyzja o zaufaniu danemu CA powinna być świadoma, nie automatyczna.

Windows i macOS automatycznie aktualizują magazyn głównych CA przez aktualizacje systemu. Brakujący certyfikat to zazwyczaj problem z:

• Serwerem używającym certyfikatu od nieznanego CA (firmowe CA, Let's Encrypt w bardzo starych systemach).
• Brakującym certyfikatem pośrednim CA (intermediate CA) — serwer powinien go wysyłać razem z własnym certyfikatem.
• Certyfikatem samopodpisanym (self-signed) — nie ma CA, który go podpisał.

Typy błędów certyfikatów w eM Client

Certyfikat wystawiony przez niezaufany urząd

Serwer używa certyfikatu podpisanego przez CA, który nie jest w systemowym magazynie certyfikatów. Rozwiązanie: zainstaluj certyfikat główny CA lub zaakceptuj certyfikat jednorazowo.

Certyfikat wygasł

Data ważności certyfikatu serwera minęła. Skontaktuj się z administratorem serwera — powinien odnowić certyfikat. To problem po stronie serwera, nie eM Client.

Nazwa hosta nie pasuje

Adres serwera w ustawieniach eM Client różni się od nazwy w certyfikacie. Sprawdź, czy używasz prawidłowego adresu serwera — np. mail.firma.pl zamiast 192.168.1.1.

Nieznany status unieważnienia

eM Client nie może sprawdzić, czy certyfikat nie został unieważniony (lista CRL lub OCSP niedostępne). Dotyczy głównie macOS — szczegóły w odrębnym artykule.

Instalacja certyfikatu CA w Windows

Jeśli znasz CA, który wystawił certyfikat serwera, możesz zainstalować jego certyfikat główny w Windows:

1. Pobierz certyfikat główny CA ze strony urzędu (plik .cer lub .crt).
2. Naciśnij Win+R, wpisz certmgr.msc i naciśnij Enter.
3. W Menedżerze certyfikatów rozwiń Zaufane główne urzędy certyfikacji.
4. Kliknij prawym przyciskiem na Certyfikaty > Wszystkie zadania > Importuj.
5. Wskaż pobrany plik certyfikatu CA i zakończ kreator importu.
6. Zrestartuj eM Client.

Uwaga: Instaluj tylko certyfikaty CA, którym rzeczywiście ufasz. Niezaufany CA może wystawiać certyfikaty dla dowolnych domen.

Instalacja certyfikatu CA na macOS

1. Pobierz certyfikat CA (plik .cer, .crt lub .pem).
2. Kliknij dwukrotnie na pobrany plik — otworzy się Dostęp do Pęku Kluczy (Keychain Access).
3. Certyfikat zostanie dodany do pęku kluczy Logowanie lub System.
4. Znajdź certyfikat na liście, kliknij dwukrotnie i rozwiń sekcję Ufaj.
5. Zmień ustawienie Przy używaniu tego certyfikatu na Zawsze ufaj.
6. Zrestartuj eM Client.

Akceptacja certyfikatu bezpośrednio w eM Client

Jeśli pojawia się ostrzeżenie o certyfikacie, eM Client oferuje możliwość akceptacji certyfikatu dla danego serwera:

1. W oknie ostrzeżenia o certyfikacie kliknij Wyświetl certyfikat i sprawdź jego szczegóły.
2. Upewnij się, że certyfikat jest autentyczny (sprawdź CN, wystawcę, datę ważności).
3. Kliknij Zaufaj lub Akceptuj, aby dodać certyfikat do wyjątków eM Client.
4. eM Client zapamięta Twoją decyzję i nie będzie wyświetlał ostrzeżenia przy kolejnych połączeniach z tym serwerem.

Możesz zarządzać zaakceptowanymi certyfikatami w Menu > Ustawienia > Zaawansowane > Certyfikaty.

Najczęstsze pytania

Dlaczego eM Client nie pobiera certyfikatów automatycznie?

eM Client nie ma mechanizmu automatycznego pobierania certyfikatów CA ze względów bezpieczeństwa. Zarządzanie zaufanymi CA to zadanie systemu operacyjnego. eM Client korzysta z systemowego magazynu certyfikatów Windows lub macOS.

Jak zainstalować brakujący certyfikat CA w Windows?

Pobierz certyfikat CA, otwórz certmgr.msc, przejdź do Zaufane główne urzędy certyfikacji i zaimportuj certyfikat. Po restarcie eM Client błąd certyfikatu powinien zniknąć.

Co oznacza błąd 'certyfikat wystawiony przez niezaufany urząd' w eM Client?

Certyfikat SSL serwera został wystawiony przez CA, który nie jest w zaufanym magazynie certyfikatów systemu. Możesz zaakceptować certyfikat bezpośrednio w eM Client lub zainstalować certyfikat CA w systemie.

Czy mogę zignorować ostrzeżenie o certyfikacie w eM Client?

Możesz zaakceptować certyfikat dla danego serwera w eM Client. Przed akceptacją sprawdź szczegóły certyfikatu, aby upewnić się, że pochodzi z prawdziwego serwera.