Czym jest ostrzeżenie o certyfikacie

Gdy eM Client nawiązuje połączenie z serwerem pocztowym przez szyfrowany protokół (IMAPS, SMTPS, POPS), serwer przesyła swój certyfikat SSL/TLS w celu potwierdzenia tożsamości. eM Client sprawdza, czy ten certyfikat jest ważny i wystawiony przez zaufany urząd certyfikacji (CA — Certificate Authority).

Jeśli weryfikacja nie powiedzie się, eM Client wyświetla okno ostrzeżenia z informacją o problemie. Ostrzeżenie wygląda podobnie jak komunikaty bezpieczeństwa w przeglądarkach internetowych — podaje szczegóły certyfikatu i opisuje, co jest z nim nie tak.

Ostrzeżenia o certyfikatach mają na celu ochronę użytkownika przed atakami typu „man-in-the-middle", w których złośliwy podmiot podszywałby się pod serwer pocztowy. Dlatego ważne jest, aby nie akceptować nieznanych certyfikatów bez weryfikacji.

Przyczyny ostrzeżeń o certyfikacie

eM Client może wyświetlić ostrzeżenie o certyfikacie z kilku powodów:

• Certyfikat samopodpisany — serwer używa certyfikatu wystawionego przez niego samego, a nie przez zaufane CA. Typowe w firmowych środowiskach testowych lub małych organizacjach
• Niezaufane CA — certyfikat jest wystawiony przez urząd certyfikacji, który nie jest wstępnie zainstalowany w systemie operacyjnym jako zaufany
• Wygasły certyfikat — data ważności certyfikatu minęła. Administrator serwera powinien odnowić certyfikat
• Niezgodność nazwy domeny — certyfikat jest wystawiony dla innej nazwy domeny niż serwer, z którym się łączysz (np. certyfikat na mail.firma.com, ale adres serwera to poczta.firma.com)
• Certyfikat odwołany — certyfikat został unieważniony przez wystawiające CA przed upływem ważności (np. z powodu naruszenia bezpieczeństwa)

Akceptacja certyfikatu w eM Client

Gdy eM Client wyświetla ostrzeżenie o certyfikacie, masz do wyboru kilka opcji:

• Odrzuć — połączenie jest anulowane. Wybranie tej opcji jest bezpieczne, jeśli nie rozpoznajesz serwera
• Akceptuj jednorazowo — certyfikat jest akceptowany tylko dla tego połączenia. Przy następnym połączeniu ostrzeżenie pojawi się ponownie
• Akceptuj i zapisz — certyfikat jest akceptowany i zapisywany. eM Client nie będzie już wyświetlać ostrzeżenia dla tego certyfikatu

Wybierz Akceptuj i zapisz, jeśli:

• Rozpoznajesz serwer (np. to firmowy serwer email, o którym wiesz, że używa certyfikatu samopodpisanego)
• Administrator IT potwierdził, że ten certyfikat jest prawidłowy
• Sprawdziłeś odcisk palca certyfikatu (fingerprint) z informacjami od dostawcy serwera

Zapisane certyfikaty możesz zarządzać przez Menu > Narzędzia > Ustawienia > Certyfikaty.

Instalacja certyfikatu CA na Windows

Aby trwale rozwiązać problem z niezaufanym certyfikatem, możesz zainstalować certyfikat CA (główny lub pośredni), który wystawił certyfikat serwera. Po instalacji system Windows będzie ufał wszystkim certyfikatom wystawionym przez to CA.

Jak zainstalować certyfikat CA na Windows:

1. Pobierz certyfikat CA od swojego administratora IT lub dostawcy serwera (zazwyczaj plik .cer lub .crt)
2. Naciśnij Windows + R, wpisz certmgr.msc i naciśnij Enter
3. W Menedżerze certyfikatów przejdź do Zaufane główne urzędy certyfikacji > Certyfikaty
4. Kliknij prawym przyciskiem myszy na „Certyfikaty" i wybierz Wszystkie zadania > Importuj
5. Postępuj zgodnie z kreatorem importu, wskazując pobrany plik certyfikatu CA
6. Wybierz magazyn „Zaufane główne urzędy certyfikacji"
7. Zakończ import i uruchom ponownie eM Client

Po imporcie eM Client automatycznie zacznie ufać certyfikatom wystawionym przez to CA i ostrzeżenia nie będą się już pojawiać.

Instalacja certyfikatu CA na macOS

Na macOS certyfikaty są zarządzane przez aplikację Keychain Access (Pęk kluczy):

1. Pobierz plik certyfikatu CA (.cer, .crt lub .pem)
2. Kliknij dwukrotnie na plik — otworzy się Keychain Access
3. Certyfikat zostanie dodany do pęku kluczy
4. Wyszukaj certyfikat w Keychain Access i kliknij na niego dwukrotnie
5. Rozwiń sekcję Zaufanie (Trust)
6. Zmień opcję Podczas używania tego certyfikatu na Zawsze ufaj (Always Trust)
7. Zamknij okno i potwierdź hasłem systemowym
8. Uruchom ponownie eM Client

Po tym kroku eM Client będzie respektować zaufanie do certyfikatu skonfigurowane w systemowym magazynie certyfikatów macOS.

Kiedy NIE akceptować certyfikatu

Ważne jest, aby wiedzieć, kiedy nie należy akceptować certyfikatu:

• Wygasły certyfikat — zamiast akceptować, skontaktuj się z administratorem serwera, aby odnowił certyfikat. Wygasły certyfikat to ryzyko bezpieczeństwa
• Niespodziewane ostrzeżenie — jeśli ostrzeżenie pojawiło się nagle dla serwera, który wcześniej działał poprawnie, może to wskazywać na problem z serwerem lub atak typu MITM
• Nieznany serwer — jeśli nie rozpoznajesz serwera podanego w certyfikacie, nie akceptuj go bez weryfikacji
• Certyfikat odwołany — certyfikaty odwołane (revoked) nie powinny być akceptowane — oznacza to, że wystawiające CA cofnęło zaufanie do tego certyfikatu

Zawsze skonsultuj się z administratorem IT przed zaakceptowaniem nieoczekiwanego ostrzeżenia o certyfikacie w środowisku firmowym.

Najczęstsze pytania

Dlaczego eM Client pokazuje ostrzeżenie o certyfikacie?

eM Client wyświetla ostrzeżenie gdy certyfikat SSL serwera jest: samopodpisany, wystawiony przez niezaufane CA, wygasły lub gdy nazwa domeny nie zgadza się. Ostrzeżenie chroni przed fałszywymi serwerami.

Czy mogę bezpiecznie zaakceptować certyfikat w eM Client?

Możesz zaakceptować certyfikat, jeśli masz pewność, że łączysz się z właściwym serwerem (np. firmowy serwer z certyfikatem samopodpisanym). Kliknij „Akceptuj i zapisz", aby eM Client zapamiętał ten certyfikat.

Jak zainstalować certyfikat CA, aby nie pojawiało się ostrzeżenie?

Na Windows: otwórz certmgr.msc i zaimportuj certyfikat CA do magazynu „Zaufane główne urzędy certyfikacji". Na macOS: przeciągnij certyfikat do Keychain Access i ustaw zaufanie na „Zawsze ufaj".

Co oznacza błąd „certyfikat jest wygasły"?

Certyfikat SSL serwera pocztowego utracił ważność. Skontaktuj się z administratorem serwera, aby odnowił certyfikat. Nie zaleca się akceptowania wygasłych certyfikatów.