¿S / MIME proporciona medios para propagar la revocación de un certificado?

En X.509, toda la revocación pasa por los objetos firmados por los emisores de certificados. La decisión de revocar o no revocar no está en manos del titular del certificado, sino de su CA emisora. La CA da a conocer su decisión al incluir o no el número de serie del certificado de destino en la CRL que produce (ídem para las respuestas de OCSP, que son solo CRL con un alcance reducido a un solo certificado).

S / MIME se basa en CMS (anteriormente conocido como PKCS # 7) para el formato de firmado y / o cifrado correos electronicos CMS puede incrustar "objetos de ayuda" arbitrarios, incluidas las respuestas de CRL y OCSP, si quien ensambla el mensaje cree que estas respuestas de CRL u OCSP pueden ser útiles para los destinatarios de las validaciones de certificados que realizarán. Esto se puede usar en caso de que la CA no tenga una manera confiable de empujar su CRL en un lugar donde el destinatario pueda agarrarlos (un escenario relativamente raro: las personas que reciben correos electrónicos a menudo tienen acceso a Internet). Sin embargo, esta respuesta de CRL u OCSP necesariamente debe provenir de la CA (o de una entidad a la que se delegó el poder, por ejemplo, un respondedor de OCSP).

En el modelo X.509, se supone que todos pueden obtener respuestas nuevas de CRL u OCSP (y deberían rechazar los certificados si no pueden). En S / MIME, el certificado del remitente se incluye en cada correo electrónico que envía, y los destinatarios deben registrar automáticamente los certificados recibidos; cuando responden, sus herramientas deben recoger el certificado conocido más reciente (después de la validación con comprobación de revocación, por supuesto).