Un correo electrónico firmado a través de S / MIME también contiene la cadena de certificados X.509 que contiene la clave pública para verificar directamente la firma (suponiendo que su CA emisora se considere confiable). Sin embargo, la cadena no tiene por defecto la CA raíz. ¿Cómo puede incluirse además de adjuntar manualmente su archivo de certificado?
No debe haber ninguna razón para incluir el ancla de confianza (también conocida como "CA raíz") en un correo electrónico firmado, porque si la cadena debe tener algún valor para el destinatario, ese destinatario ya debe tenerlo. Incluir la CA raíz en el correo electrónico solo induciría a los destinatarios a tomar la CA raíz del correo electrónico recibido e insertarlo en su almacén de confianza, lo cual es una gran violación de la seguridad, similar a enviar sus coordenadas bancarias a cada intento de phishing que reciba. p>
Se supone que la distribución de la CA raíz se realiza "fuera de banda" y con un medio seguro (por ejemplo, codificado en el paquete de software "Thunderbird" que ya se considera confiable, ya que lo deja leer y escribe tus correos electrónicos). La distribución de CA raíz por correo electrónico me parece que es ... menos que segura de manera óptima.
El formato subyacente para S / MIME, es decir, CMS , le permite almacenar cualquier certificado que desee en SignedData Elemento (esto no es una cadena sino una gran bolsa de certificados y otros objetos sin clasificar). Sin embargo, Thunderbird tiene un comportamiento predeterminado de solo poner los certificados para la cadena del firmante, excluyendo la CA raíz; que yo sepa, esto no es configurable, y no puedo culparlo porque incluir la CA raíz tendría poco sentido, ver más arriba.
Lea otras preguntas en las etiquetas public-key-infrastructure key-management certificate-authority smime