Certificado de cifrado de correo electrónico público

1

Soy bastante nuevo en esto, así que no seas demasiado duro conmigo.

Actualmente estoy usando el MTA de CipherMail para generar certificados de cifrado de correo electrónico. Creé una CA propia y claves públicas y privadas para nuestra dirección de correo de contacto.

Quiero publicar la clave pública y el certificado en nuestro sitio web para que los clientes puedan cifrar los correos, pero tienen dificultades para comprender cómo lo verificarían nuestros clientes, ya que el emisor del certificado es nuestro propio CA. ¿Debo publicar la Autoridad de Certificación también? ¿Es seguro hacerlo?

Si lo hago, entonces cada cliente que quiera enviarnos correos cifrados tendrá que instalar la CA en su cliente de correo electrónico y luego instalar el certificado. hay una manera mas facil?

    
pregunta Peter Noble 23.06.2014 - 10:25
fuente

2 respuestas

1

Las claves públicas están destinadas a ser públicas. La idea general de infraestructuras de clave pública es que el conocimiento de la clave pública de la CA raíz es suficiente: una vez que lo sepa (con cierta certeza ) esa clave pública, entonces puede obtener alguna garantía sobre la propiedad de las claves públicas por parte de los usuarios al validar los certificados.

No hay problema para usted al colocar el certificado de CA en un sitio web público. Esto se considera bueno. De hecho, los certificados emitidos por una CA deben contener una URL que apunte al certificado de la CA (esta es la Acceso a la información de la autoridad extensión).

El rompecabezas está en el lado de los clientes. PKI no crea confianza ex nihilo ; lo transporta. Los clientes pueden obtener su certificado de CA (presumiblemente autofirmado) pero de alguna manera tienen que confiar en que obtuvieron el correcto. El procedimiento habitual es que la huella digital (en realidad, un hash) del certificado se obtiene a través de un método no especificado pero "seguro" (por ejemplo, los clientes llaman a su administrador de sistemas y deletrea los cuarenta caracteres hexadecimales) , y los clientes verifican que la impresión que obtuvieron coincida con la que tienen en el certificado de CA que obtuvieron.

Otro problema, que en realidad es más difícil, es que la mayoría del software de correo electrónico no ofrece una forma de restringir la confianza en la CA raíz, por ejemplo, a un subdominio específico. Uno de los clientes desea configurar su máquina para que su certificado de CA sea confiable, pero solo para verificar los certificados de correo electrónico vinculados a correos electrónicos en el dominio @example.com . En otras palabras, la falta de opciones de segmentación en el lado del cliente significará que al importar su certificado de CA, en realidad confiarán en su CA para muchas cosas. Pueden negarse a hacer eso.

    
respondido por el Thomas Pornin 23.06.2014 - 15:20
fuente
1

Cuando hablamos de este tipo de configuración (no pretendo conocer el producto específico), generalmente se trata de PKI.

enlace

Tienes razón, en términos generales.

Normalmente, uno compra un certificado de CA y, por lo tanto, no tiene que distribuir el certificado de CA. Cuando uno tiene una CA 'local', normalmente el usuario tiene que descargar el certificado (que contiene la clave pública) y establecerlo como una raíz de confianza local para que varios navegadores o software de terceros funcionen correctamente.

De nuevo, especulo desde la experiencia general, no la experiencia específica en su producto.

En el caso de, por ejemplo, PGP, la confianza / los certificados se distribuyen a través de servidores públicos específicos donde puede buscar y publicar.

PGP y similares se pueden usar con Outlook a través de complementos.

    
respondido por el Simply G. 23.06.2014 - 14:11
fuente