Co oznacza to ostrzeżenie

Gdy eM Client na macOS pokazuje komunikat o „nieznanym statusie unieważnienia certyfikatu" (ang. Unknown certificate revocation status), oznacza to, że system macOS próbował sprawdzić, czy certyfikat SSL serwera pocztowego jest nadal ważny (nie unieważniony), ale nie mógł uzyskać jednoznacznej odpowiedzi.

Certyfikaty SSL mogą być unieważnione przez wystawiające je urząd certyfikacji (CA) przed upływem daty ważności — np. gdy klucz prywatny serwera został skompromitowany. Sprawdzanie unieważnienia ma na celu ochronę przed korzystaniem z certyfikatów, które zostały odwołane ze względów bezpieczeństwa.

Kluczowe rozróżnienie: „Nieznany status" to nie to samo co „Certyfikat unieważniony". Nieznany status oznacza tylko, że sprawdzenie nie powiodło się — nie oznacza, że certyfikat jest nieprawidłowy lub niebezpieczny.

Jak działa sprawdzanie unieważnienia certyfikatów

Istnieją dwa główne mechanizmy sprawdzania unieważnienia certyfikatów:

• OCSP (Online Certificate Status Protocol) — system pyta serwer OCSP urzędu certyfikacji o aktualny status konkretnego certyfikatu. Jest szybszy niż CRL, ale wymaga aktywnego połączenia z serwerem OCSP
• CRL (Certificate Revocation List) — pobiera listę wszystkich unieważnionych certyfikatów od CA i sprawdza lokalnie. Lista CRL może być duża i ma ograniczoną aktualność

macOS domyślnie używa OCSP do sprawdzania statusu certyfikatów. Jeśli serwer OCSP jest niedostępny (np. z powodu problemów z siecią, polityki prywatności Apple, lub blokady firewall), macOS może nie być w stanie ustalić statusu i zwraca komunikat „nieznany".

Apple dodało też własną infrastrukturę OCSP (ocsp.apple.com), przez którą przechodzi część weryfikacji na macOS.

Przyczyny ostrzeżenia na macOS

Ostrzeżenie o nieznanym statusie unieważnienia może pojawić się z kilku powodów specyficznych dla macOS:

• Brak dostępu do serwera OCSP — firewall, VPN lub sieć firmowa blokuje połączenie z serwerami OCSP urzędu certyfikacji
• Polityka prywatności Apple — niektóre konfiguracje macOS mogą ograniczać sprawdzanie OCSP z powodów prywatności (po kontrowersjach z 2021 roku dotyczących logowania przez Apple)
• Certyfikat bez informacji OCSP/CRL — starsze lub niestandardowe certyfikaty mogą nie zawierać adresu serwera OCSP ani CRL w swoich danych
• Problem z siecią — tymczasowe problemy z połączeniem podczas weryfikacji
• Aktualizacja macOS — nowe wersje macOS mogą zmieniać domyślne zachowanie weryfikacji certyfikatów

Problem jest specyficzny dla macOS, ponieważ macOS ma własną implementację weryfikacji certyfikatów (przez Security Framework), która różni się od implementacji Windows.

Kiedy można zignorować ostrzeżenie

Ostrzeżenie o nieznanym statusie unieważnienia jest zazwyczaj bezpieczne do zignorowania gdy:

• Znasz serwer — łączysz się z serwerem pocztowym, który znasz i któremu ufasz (np. Twój firmowy serwer lub znany dostawca)
• Certyfikat jest ważny — data ważności certyfikatu nie minęła i inne pola (nazwa domeny, wystawca) są prawidłowe
• Problem powtarza się — jeśli ostrzeżenie pojawia się zawsze dla tego samego serwera od dłuższego czasu bez innych problemów, prawdopodobnie wynika z konfiguracji sieci, nie z zagrożenia

Zachowaj ostrożność gdy:

• Ostrzeżenie pojawiło się nagle dla serwera, który wcześniej działał bez problemów
• Inne elementy certyfikatu (nazwa domeny, wystawca) wyglądają podejrzanie
• Jesteś w niezaufanej sieci (publiczne Wi-Fi)

Rozwiązania problemu

Zaakceptuj certyfikat w eM Client

Najprostsze rozwiązanie: gdy pojawi się ostrzeżenie, wybierz Akceptuj i zapisz. eM Client zapamiętuje zaakceptowane certyfikaty i nie będzie pytać ponownie dla tego serwera.

Sprawdź połączenie z OCSP

Sprawdź, czy Twoja sieć nie blokuje dostępu do serwerów OCSP. Możesz to przetestować w Terminalu:

curl -v https://ocsp.apple.com

Jeśli połączenie jest blokowane, skontaktuj się z administratorem sieci lub spróbuj z innej sieci.

Wyłącz OCSP dla konkretnej sieci

W niektórych sieciach korporacyjnych ruch OCSP jest blokowany. Skontaktuj się z administratorem IT, aby umożliwić dostęp do serwerów OCSP lub skonfiguruj wyjątek dla eM Client.

Zaktualizuj macOS

Upewnij się, że macOS jest zaktualizowany. Apple regularnie aktualizuje certyfikaty CA i mechanizmy weryfikacji w aktualizacjach systemowych.

Konfiguracja zaufania przez Keychain Access

Jeśli chcesz trwale rozwiązać problem dla konkretnego certyfikatu serwera:

1. Gdy pojawi się ostrzeżenie w eM Client, kliknij na szczegóły certyfikatu
2. Wyeksportuj certyfikat lub zanotuj jego dane
3. Otwórz Keychain Access (Pęk kluczy)
4. Znajdź certyfikat serwera lub CA
5. Kliknij dwukrotnie na certyfikat
6. Rozwiń sekcję Zaufanie
7. Przy opcji sprawdzania unieważnienia możesz zmienić zachowanie
8. Zamknij i potwierdź hasłem systemowym

Pamiętaj, że zmiana ustawień zaufania certyfikatów wpływa na bezpieczeństwo systemu. Rób to tylko dla certyfikatów, które znasz i którym ufasz.

Najczęstsze pytania

Co oznacza „Nieznany status unieważnienia certyfikatu" w eM Client na macOS?

System macOS nie mógł sprawdzić, czy certyfikat SSL serwera jest unieważniony (przez OCSP lub CRL). Zazwyczaj wynika z braku dostępu do serwera OCSP, nie z problemu z samym certyfikatem.

Czy to ostrzeżenie jest niebezpieczne?

Zazwyczaj nie. Nieznany status nie oznacza, że certyfikat jest unieważniony — oznacza tylko, że sprawdzenie nie było możliwe. Jeśli serwer jest znany i zaufany, możesz zaakceptować certyfikat.

Jak wyłączyć sprawdzanie unieważnienia w macOS dla eM Client?

Możesz zmienić politykę zaufania certyfikatu w Keychain Access lub zaakceptować certyfikat w eM Client (Akceptuj i zapisz). Globalne wyłączenie nie jest zalecane.

Dlaczego to ostrzeżenie pojawia się na macOS ale nie na Windows?

macOS i Windows mają różne implementacje sprawdzania unieważnienia. macOS używa własnego mechanizmu OCSP i może być bardziej restrykcyjny. To normalna różnica między systemami.