Estoy usando K-9 Mail en Android y he configurado la opción SSL en 'SSL (estricto)'.
Tengo entendido que con esta opción K-9 requiere definitivamente un certificado SSL válido que sea emitido por una CA de confianza, es decir, nada de certificados autofirmados.
Lo que me pregunto es si K-9 realmente evalúa el campo CN del certificado, es decir, si sólo acepta un certificado como válido y de confianza si el CN y el nombre DNS del servidor de correo coinciden. Esto es, en mi opinión, un requisito fundamental para no caer en ataques MITM. Si K-9 no coincidiera, en el peor de los casos K-9 aceptaría cualquier certificado (comodín) presentado con la condición de que haya sido firmado por una CA de confianza.
¿Alguien ha probado/confirmado/verificado que esto no es así?
