No estoy seguro si la pregunta es elegible para esta junta, ya que solicito proveedores de servicios concretos que pueden ser de tipo publicitario, pero también hay un problema técnico involucrado, por lo que doy una oportunidad.
Mi escenario concreto es el siguiente:
Quiero usar S / MIME para el cifrado de correo electrónico. Mi decisión se tomó en términos de S / MIME, ya que todos los clientes de correo electrónico predeterminados admiten S / MIME pero no PGP sin complementos adicionales. También quiero obtener un certificado de confianza y no uno autofirmado porque será más fácil de usar teniendo en cuenta a todas las personas contactadas.
Ahora al problema: Quiero estar seguro en el futuro con mis archivos de correo electrónico. En la medida en que investigué, la mayoría de las CA crean sus certificados S / MIME con el código html < keygen > etiqueta. Esto le permite al navegador crear un nuevo par de llaves público privado. No hay problema hasta ahora. Sin embargo, un certificado es generalmente válido sólo 1-3 años. Si quiero renovar mi certificado, tengo que crear un nuevo par de llaves privadas / públicas desde el navegador. En términos de archivar mis correos electrónicos, esto me lleva a un montón de claves que tengo que almacenar / respaldar y reutilizar si quiero leer un correo electrónico archivado. Además, tendré que probar cuál es la clave correcta para descifrar o necesitar el dato concreto y una lista en qué momento se usó el par de claves.
Según tengo entendido, esto no debería ser un problema con los certificados que recibo de las solicitudes de CSR. Puedo reutilizar el CSR cada vez que caduque mi certificado y conservar la misma clave para todos mis correos durante todos los años.
Ahora, con las preguntas: ¿Conoce alguna CA que ofrezca certificados S / MIME generados por una CSR de clientes?
¿Es posible incluso usar un certificado de servidor predeterminado para S / MIME? (Con otro correo electrónico, luego webmaster, root, ... @ mydomain.com pero algo como [email protected], que no es una dirección de correo electrónico predeterminada para obtener un certificado de servidor de clase 1 validado)
¿O tienes otras ideas sobre cómo obtener una durabilidad a largo plazo sin un montón de claves?