J'utilise K-9 Mail sur Android et j'ai réglé l'option SSL sur "SSL (strict)".
Je crois savoir qu'avec cette option, K-9 a besoin d'un certificat SSL valide, émis par une autorité de certification de confiance, c'est-à-dire pas de certificats auto-signés.
Ce que je me demande, c'est si K-9 évalue réellement le champ CN du certificat, c'est-à-dire s'il n'accepte un certificat comme valide et fiable que si le CN et le nom DNS du serveur de messagerie correspondent. Il s'agit là, selon l'OMI, d'une exigence fondamentale pour éviter les attaques MITM. Si K-9 ne fait pas correspondre ces critères, dans le pire des cas, K-9 acceptera n'importe quel certificat (joker) présenté à condition qu'il ait été signé par une autorité de certification de confiance.
Quelqu'un a-t-il testé/confirmé/vérifié que ce n'est pas le cas ?
