Politica dei certificati di posta dell'utente: scadenza + rinnovo sono migliori di no-scadenza + revoca?

1

Nel nostro ambiente, forniamo certificati utente per firmare o crittografare le email. Questa è un'impostazione interna, il che significa che la CA è interna alla nostra organizzazione (non una CA pubblica) e gestita dalla nostra PKI di Active Directory.

I certificati utente vengono emessi con una durata di un anno e rinnovati automaticamente dall'infrastruttura PKI.

C'è comunque un effetto collaterale in Outlook: ogni volta che un utente apre un messaggio di posta elettronica che è stato firmato o crittografato da un certificato scaduto, Outlook non verifica se tale certificato è stato rinnovato ed emette un messaggio di avviso che lo informa il certificato non è valido e richiede all'utente di forzare la visualizzazione del messaggio e ignorare gli avvertimenti.

Questaèunacosamoltobruttaperl'educazioneelaconsapevolezzadegliutenti("ignora gli avvisi sui certificati di Outlook ...")

Dato che non ho trovato un modo corretto per Outlook, sto considerando una soluzione alternativa: emetti certificati con durata illimitata (molto lunga), in questo modo un certificato utente diventa non valido solo dopo la revoca da parte della PKI (quando il l'utente lascia l'organizzazione).

Sembra una politica appropriata, ma ci sono effetti collaterali? Non ho trovato alcuna raccomandazione / best practice da parte di Microsoft, quindi mi chiedo se altri hanno esperienza con questa impostazione e se è utile impostare la data di scadenza per i certificati utente interni.

    
posta Samuel 12.03.2018 - 18:07
fonte

1 risposta

1

Il motivo della non validità attuale del certificato non è pertinente. Se Outlook, o qualsiasi software client, presenta una conclusione diversa sulla validità di una firma da entrambi i tipi di certificato (scaduto o revocato), il software è rotto e deve essere presentata una segnalazione di bug al venditore.

Se la firma è stata fatta mentre il certificato era valido, allora la firma dovrebbe (IMnsHO) essere accettata come valida; se la firma è stata effettuata dopo che il certificato è diventato non valido, la firma non deve essere accettata come valida. Il difficile è stabilire quando è stata fatta la firma relativa all'invalidazione del certificato. È probabile che non ci sia una soluzione semplice; Mi aspetto qualcosa di simile a questo proposto il meccanismo di timestamp distribuito o questo servizio di data e-mail di vecchia data sarebbe utile.

Probabilmente richiederà in ogni caso una maggiore formazione da parte degli utenti.

    
risposta data 12.03.2018 - 18:32
fonte