Molte grandi aziende scelgono di utilizzare la propria CA per firmare i certificati SMIME dei propri dipendenti. Che va bene per uso interno, ma in genere si aspettano che gli utenti esterni importino la propria CA aziendale nell'archivio certificati del proprio client di posta elettronica.
Trovo che questa aspettativa sia irragionevole, dal momento che non voglio fidarmi di nessun CA più di quanto sia già necessario. Anche senza assumere intenzioni malevole, non so quanto bene queste società proteggano le loro chiavi private.
Sfortunatamente, alcune di queste società sono nostri clienti. E non ho intenzione di convincere un'azienda di Fortune 500 a cambiare i suoi modi acquistando certificati SMIME da una CA pubblica.
È possibile che in qualche modo ricerchi singoli certificati SMIME dai miei corrispondenti con la mia CA, che poi importerò nell'archivio dei certificati? Questa sarebbe una soluzione indipendente dal cliente per l'intera questione. Certo, verificherei preventivamente l'impronta digitale del certificato per telefono, mimando il flusso di lavoro di PGP.