Política de certificados de correo del usuario: ¿Es mejor la caducidad + renovación que la no caducidad + revocación?

1

En nuestro entorno, proporcionamos certificados de usuario para firmar o cifrar correos electrónicos. Esta es una configuración interna, lo que significa que la CA es interna a nuestra organización (no una CA pública) y es administrada por nuestra PKI de Active Directory.

Los certificados de usuario se emiten con una duración de un año y la PKI los renueva automáticamente.

Sin embargo, hay un efecto secundario en Outlook: cada vez que un usuario abre un correo electrónico firmado o encriptado por un certificado que ha caducado, Outlook no verifica si dicho certificado se ha renovado y emite un mensaje de advertencia que indica que el certificado no es válido y el usuario debe forzar la visualización del mensaje e ignorar las advertencias.

Estoesalgomuymaloparalaeducaciónyelconocimientodelusuario("ignorar las advertencias de los certificados de Outlook ...")

Dado que no encontré una manera para que Outlook se comporte correctamente, estoy considerando una solución alternativa: emitir certificados con una duración ilimitada (muy larga), de esta manera un certificado de usuario se volverá inválido solo después de la revocación por la PKI (cuando el usuario abandona la organización).

Esto parece una política apropiada, pero ¿hay efectos secundarios? No encontré ninguna recomendación / mejores prácticas por parte de Microsoft, por lo que me pregunto si otros tienen experiencia con esta configuración y si es útil establecer la fecha de caducidad de los certificados de usuario internos.

    
pregunta Samuel 12.03.2018 - 18:07
fuente

1 respuesta

1

El motivo de la invalidez actual del certificado no es relevante. Si Outlook, o cualquier software cliente, presenta una conclusión diferente con respecto a la validez de una firma de cualquiera de los tipos de certificado (caducado o revocado), el software se rompe y se debe presentar un informe de error al proveedor.

Si la firma se realizó mientras el certificado era válido, entonces la firma debe (IMnsHO) debe aceptarse como válida; Si la firma se realizó después de que el certificado fuera inválido, entonces la firma no debe aceptarse como válida. El bit difícil es establecer cuándo se realizó la firma en relación con la invalidación del certificado. Es probable que no haya una solución simple; Espero algo como esto propuesto El mecanismo de marca de tiempo distribuido o este servicio de marcas de tiempo por correo electrónico de larga data sería útil.

Probablemente va a requerir más educación del usuario en cualquier caso.

    
respondido por el mlp 12.03.2018 - 18:32
fuente

Lea otras preguntas en las etiquetas