Certificado S / MIME caducado y renovado, ¿mis corresponsales tienen que hacer algo?

3

Mi certificado PKI (la identificación digital para el correo electrónico de Symantec, el emisor es "VeriSign Client External Certification Authority - G3") caducó después de 1 año y, por lo tanto, la he renovado.

¿Las personas con las que mantengo correspondencia utilizando S / MIME para el cifrado y la firma de correos electrónicos tienen que hacer algo?

Por ejemplo, si cifro un correo electrónico con S / MIME y el nuevo certificado, ¿los destinatarios deberán hacer algo especial, como "importar" el certificado de alguna manera?

Del mismo modo, si intentan enviarme un correo electrónico cifrado, ¿obtendrán un error que diga "certificado caducado para el destinatario" o algo así?

Parece un gran dolor en el culo si yo y mis corresponsales tenemos que volver a importar los certificados de los demás cada año.

    
pregunta Tyler Durden 15.10.2014 - 18:14
fuente

2 respuestas

4

Teoría es que todo funciona automáticamente. La práctica a veces difiere.

Supongo que está hablando de S / MIME y certificados X.509. Con S / MIME, cuando envía un correo electrónico:

  • El correo electrónico está cifrado con la clave pública del destinatario, por lo que debe conocer el certificado del destinatario actual.
  • El correo electrónico está firmado con su clave privada y el formato de la firma normalmente incluye una copia de su propio certificado.

Por lo tanto, otras personas aprenden su certificado actual cuando les envía correos electrónicos firmados. Una vez que recibieron dicho correo electrónico, pueden enviarle correos electrónicos cifrados. Si estas personas también firman sus propios correos electrónicos, entonces usted también aprende sus certificados y, posteriormente, podrá enviarles correos electrónicos cifrados.

Cuando obtiene su nuevo certificado, sus corresponsales aún no lo saben; Solo conocen el anterior. Cuando su certificado anterior caduque, dejarán de poder enviarle correos electrónicos cifrados. Pero, tan pronto como les envíe un correo electrónico firmado, aprenderán su nuevo certificado y todo volverá a estar bien. El almacenamiento de copias de los certificados de otras personas se debe realizar automáticamente por su software de correo electrónico, por lo que nunca es necesario realizar una importación manual. Al menos cuando todo funciona bien.

Si desea que las personas puedan enviarle correos electrónicos cifrados sin recibir primero un correo electrónico firmado de usted, entonces puede poner una copia de su certificado ( no su clave privada, por supuesto) en su sitio web personal, perfil de Facebook o algo similar.

(En los sueños de los diseñadores originales de X.509, los certificados para todo el mundo se pueden encontrar en cualquier momento en un directorio mundial compartido, denominado Directory, con una D mayúscula. Esta es la razón por la cual la identidad principal en un X.509 certificado es un nombre distinguido : esta es una ruta jerárquica dentro del Directorio. Pero esto nunca sucedió: el Directorio siguió siendo una bestia puramente teórica.)

    
respondido por el Tom Leek 15.10.2014 - 18:51
fuente
3

Tiene razón en que los contactos pueden recibir un "certificado caducado", si primero intentan cifrar un correo electrónico e intentan usar el certificado en caché caducado (esto no se aplica a los correos electrónicos firmados solamente). Su cliente de correo electrónico puede permitirles continuar si persisten.

Además, existe una pequeña posibilidad de que la cadena de certificados haya cambiado (certificado de CA diferente) y falte un intermediario en el cliente de correo electrónico de algunos destinatarios. Ocurre de vez en cuando con certificados de servidor web donde la solución es hacer que la cadena intermedia esté disponible directamente durante Configuración de HTTPS . Sucede menos ahora con actualizaciones más frecuentes de los navegadores, pero si el cliente de correo electrónico está desacoplado de un navegador o almacén de certificados del sistema operativo, todavía puede ser un problema.

No sé si todos los clientes de correo electrónico S / MIME incluyen comúnmente la cadena y el certificado de firma. Una solución alternativa es enviar por correo electrónico a sus contactos un correo electrónico firmado (opcionalmente cifrado) que contenga y / o enlace a un archivo CMS / .p7b con su nuevo certificado y cadena. Esto debería resolver ambos problemas, aunque posiblemente sea necesaria la interacción del usuario, dependiendo del software del cliente y el contenido de la base de datos de CA.

Si no hay un cambio en la cadena para causar un problema, entonces Tom tiene razón, un cliente con buen comportamiento debería actualizar su certificado en caché en silencio cuando reciba el mensaje.

Parece que esta es la primera renovación para ti, hay algunas cosas que debes tener en cuenta:

  • asegúrese de comprender cómo se almacena su correo electrónico "enviado" (p. ej., encriptado o no); es posible que estos se hayan cifrado, lo que significa que debe conservar su clave antigua
  • debe mantener su clave anterior en descifrar los viejos mensajes cifrados enviados para usted (a menos que su cliente también descifre los mensajes para el almacenamiento)
  • los destinatarios deben mantener su certificado anterior para validar el correo electrónico firmado antiguo sin recibir advertencias (descifrar su correo electrónico es una función de su clave, por supuesto)
  • ¡exporte y almacene en una ubicación física segura su nuevo par clave / certificado!

(Técnicamente, la mayoría de estos puntos solo se aplican si su clave privada ha cambiado, aunque es poco común emitir un nuevo certificado reutilizando una clave. La fecha de caducidad es una propiedad sintética de un certificado, una clave no caduca como que.)

    
respondido por el mr.spuratic 15.10.2014 - 20:23
fuente

Lea otras preguntas en las etiquetas