Certificato S / MIME scaduto e rinnovato, i miei corrispondenti devono fare qualcosa?

Naviga le tue risposte
3

Il mio certificato PKI (ID digitale per e-mail da Symantec, l'emittente è "Autorità di certificazione esterna del client VeriSign - G3") è scaduto dopo 1 anno e quindi l'ho rinnovato.

Le persone con cui sto utilizzando S / MIME per la crittografia e la firma delle e-mail devono fare qualcosa?

Ad esempio, se crittografo un'e-mail utilizzando S / MIME e il nuovo certificato, i destinatari devono fare qualcosa di speciale, come "importare" il certificato in qualche modo?

Allo stesso modo, se provano a inviarmi un'e-mail crittografata, riceveranno solo un errore che dice "certificato scaduto per il destinatario" o qualcosa del genere?

Sembra un enorme rompicoglioni se io e i miei corrispondenti dovessimo importare nuovamente ogni altro certificato ogni anno.

    
posta Tyler Durden 15.10.2014 - 18:14
fonte

2 risposte

4

Theory è che tutto funzioni automaticamente. La pratica a volte differisce.

Suppongo che tu stia parlando dei S / MIME e dei certificati X.509. Con S / MIME, quando invii un'email:

  • L'email è crittografata con la chiave pubblica del destinatario, quindi devi conoscere il certificato del destinatario corrente.
  • L'email è firmata con la tua chiave privata e il formato della firma normalmente include una copia del tuo certificato.

Così, altre persone imparano il tuo attuale certificato quando invii loro email firmate. Una volta ricevuta una tale email, possono inviarti e-mail crittografate. Se anche queste persone firmano le loro e-mail, imparano anche i loro certificati, e da quel momento in poi sarai in grado di inviare loro e-mail crittografate.

Quando ottieni il tuo nuovo certificato, i tuoi corrispondenti non lo sanno ancora; loro conoscono solo il precedente. Alla scadenza del vecchio certificato, cesseranno di essere in grado di inviare e-mail crittografate. Ma, non appena gli invii un'email firmata, impareranno il tuo nuovo certificato e tutto andrà di nuovo bene. L'archiviazione delle copie dei certificati di altre persone dovrebbe essere effettuata automaticamente dal tuo software di posta elettronica, quindi non c'è mai alcuna importazione manuale da fare. Almeno quando tutto funziona bene.

Se vuoi che le persone siano in grado di inviarti e-mail crittografate senza aver prima ricevuto una tua email firmata, allora puoi mettere una copia del tuo certificato ( non la tua chiave privata, ovviamente) su il tuo sito Web personale, il profilo di Facebook o qualcosa di simile.

(Nei sogni dei progettisti X.509 originali, i certificati per tutti sarebbero stati trovati in qualsiasi momento in una directory condivisa in tutto il mondo chiamata Directory, con una lettera maiuscola D. Ecco perché l'identità principale in X.509 il certificato è un Nome distinto : questo è un percorso gerarchico all'interno della Directory, ma questo non è mai accaduto: la Directory è rimasta una bestia puramente teorica.)

    
risposta data 15.10.2014 - 18:51
fonte
3

Hai ragione nel ritenere che i contatti possano ricevere un "certificato scaduto", se tentano di crittografare prima un messaggio email e provare a utilizzare il certificato scaduto, memorizzato nella cache (questo non si applica alle e-mail solo firmate). Il loro client di posta elettronica potrebbe consentire loro di procedere se persistono.

Inoltre, c'è una piccola possibilità che la catena di certificati possa essere cambiata (certificato CA diverso) e un intermediario mancante nel client di posta di alcuni destinatari. Accade di tanto in tanto con certs del web server dove la soluzione alternativa è rendere la catena intermedia disponibile direttamente durante Impostazione HTTPS . Succede meno ora con aggiornamenti più frequenti dei browser, ma se il client di posta elettronica è disaccoppiato da un browser o da un archivio di certificati del sistema operativo, potrebbe comunque esserci un problema.

Non so se tutti i client di posta elettronica S / MIME includono comunemente la catena e il certificato di firma. Inviare via e-mail ai contatti un'e-mail firmata (facoltativamente crittografata) contenente e / o il collegamento a un file CMS / .p7b con il nuovo certificato e catena è una soluzione alternativa. Ciò dovrebbe risolvere entrambi i problemi, anche se con qualche interazione dell'utente richiesta, a seconda del software client e del contenuto del database CA.

Se non vi è alcun cambiamento di catena per causare un problema, Tom è corretto, un client ben educato dovrebbe aggiornarsi silenziosamente con il certificato memorizzato nella cache quando riceve il messaggio.

Sembra che questo sia il primo rinnovo per te, ci sono alcune cose da sapere:

  • assicurati di aver compreso come viene archiviata la tua email "inviata" (ad esempio, crittografata o meno), questi potrebbero essere stati crittografati, il che significa che devi conservare la tua vecchia chiave
  • devi mantenere la tua vecchia chiave per decifrare i vecchi messaggi criptati inviati a te (a meno che il tuo client non decodifichi anche i messaggi per l'archiviazione)
  • i destinatari devono conservare il vecchio certificato per convalidare la vecchia email firmata senza ricevere avvisi (decifrare la tua email è una funzione della loro chiave, ovviamente)
  • esportare e archiviare in una posizione fisica protetta la nuova coppia chiave / cert!

(Tecnicamente, la maggior parte di questi punti si applica solo se la tua chiave privata è cambiata, è possibile anche se non comune emettere un nuovo certificato riutilizzando una chiave.La data di scadenza è una proprietà sintetica di un certificato, una chiave non scade come che.)

    
risposta data 15.10.2014 - 20:23
fonte

Leggi altre domande sui tag

Regole del firewall per URL L'NTP perde tempo all'ora locale?