Avviso Apple Mail: impossibile verificare la firma del messaggio

0

Dopo l'aggiornamento da Sierra a Mojave (macOS 10.14), la posta Apple ha iniziato a visualizzare l'avviso Impossibile verificare la firma del messaggio sopra tutte le email firmate e crittografate. Quando fai clic su Dettagli , dice:

La firma digitale non è corretta. Il messaggio potrebbe essere stato manomesso o danneggiato dal momento della firma (nome del mittente).

Utilizziamo certificati S / MIME firmati da una CA radice autofirmata, ma dubito che questo sia il problema. Quando si controllano i certificati nell'app Portachiavi, vengono segnalati come validi e validi. Tuttavia, se in Apple Mail, ottengo il messaggio precedente e clicco su Mostra certificato , il certificato di root è segnalato come valido e attendibile, ma il certificato S / MIME è comunque non valido per nessuna ovvia ragione.

Tieni presente che alcuni segnalano problemi simili solo per le email con allegati.

    
posta not2savvy 20.11.2018 - 14:58
fonte

1 risposta

0

Questo sembra essere dovuto a un bug in Apple Mail, almeno in macOS 10.14.1, ma probabilmente introdotto in macOS 10.13.5 come tentativo di mitigare EFAIL buco di sicurezza.

Quando Mail è impostato per non caricare automaticamente il contenuto remoto ( Preferenze > Visualizza > Carica contenuto remoto nei messaggi non è selezionato), quindi il messaggio di avviso Impossibile verificare la firma del messaggio viene visualizzato per ogni messaggio firmato S / MIME.

Puoi eliminare l'avviso da

  • Impostazione di Mail per caricare automaticamente il contenuto remoto (imposta Preferenze > Visualizza > Carica contenuto remoto nei messaggi per verificare) non consigliato
  • Facendo clic sul pulsante "Carica contenuto remoto" visualizzato a destra del messaggio di avviso

Tuttavia, per motivi di sicurezza, non è consigliabile caricare il contenuto remoto a meno che non provenga da una fonte attendibile.

Considero questo un bug principale per i seguenti motivi:

  • Non ha senso che la verifica delle firme dipenda dal caricamento del contenuto remoto, perché il file della firma è un allegato inline
  • Non c'era alcuna dipendenza prima di
  • L'avviso è strongmente fuorviante

Considero questo anche un grave problema di sicurezza perché:

  • Il caricamento di contenuti remoti è considerato un problema di sicurezza che può persino portare alla perdita di contenuto crittografato come descritto da EFAIL
  • L'utente non sarà in grado di verificare la firma del messaggio senza caricare contenuti remoti potenzialmente pericolosi

La correzione era originariamente pensata per impedire all'app Mail di caricare contenuti HTML senza il consenso dell'utente. Tuttavia, il modo in cui viene implementato ora, porta anche a non caricare l'allegato della firma.

    
risposta data 21.11.2018 - 17:00
fonte

Leggi altre domande sui tag