O Outlook avisa sobre o certificado de remetente expirado que não expirou durante o envio de mensagens S / MIME

1

Ao abrir um email que foi assinado com um certificado que expirou, o Outlook 2007 avisa que a assinatura é "inválida ou não confiável" (mostrada em alemão como "ungültig oder nicht vertrauenswürdig") .

Isso é muito enganador:

  • A assinatura está, de fato, correta
  • O certificado era válido quando a mensagem foi assinada

O que era uma maneira transparente de adicionar confiança na origem da mensagem para o destinatário agora está sugerindo (pelo menos à primeira vista) que a mensagem não é confiável, quando a única coisa que realmente mudou é a data em que a mensagem é lida!

Existe uma maneira de alterar esse comportamento no Outlook sem comprometer a maneira como as mensagens assinadas são tratadas e exibidas em geral? - Ou há uma boa razão para lidar dessa maneira? Estou ciente de que a data em que a assinatura foi criada pode ser falsificada, mas sempre pode ser o caso: a assinatura não é uma forma de provar a data um mail, somente a origem!

Eu encontrei essa pergunta sobre expiração do certificado S / MIME do Outlook , mas infelizmente é apenas ligeiramente relacionado.

    
por Alexander Kosubek 22.12.2016 / 11:36

1 resposta

1

Resumo

No melhor de meu conhecimento, não há como resolver isso , pelo menos sem quebrar a verificação de assinaturas. Outros clientes de email se comportam de maneira semelhante ao Outlook, embora eu ache que não há uma boa razão para esse comportamento .

Detalhes

Examinei as configurações do GPO, mas não encontrei nenhuma que pudesse corrigir esse problema e deixar todo o restante intacto. Há uma configuração "Promover erros de nível 2 como erros, não avisos"; sua descrição diz que habilitar a configuração degrada alguns problemas em alertas que, de outra forma, seriam erros (na minha opinião, essa descrição é o oposto do que o nome sugere). O problema de expiração não está na lista de problemas do exemplo, mas ainda pode funcionar, pois os problemas lá são muito piores (como não encontrar o certificado de assinatura). Eu não tentei isso por causa da vasta extensão desse cenário, mas pode ser uma opção se você estiver realmente desesperado; -).

O Outlook 2010 e 2013 também mostram esse comportamento, parece violar as RFCs, mas a Microsoft atualmente não trabalha com o problema: link

Posso confirmar que isso ainda é reproduzível no Outlook 2016.

Nos meus testes, o Thunderbird se comporta de maneira idêntica ao Outlook e até mesmo falsamente diz que a causa do problema era "O certificado usado para assinar a mensagem foi emitido por uma autoridade de certificação que você não confia para emitir esse tipo de certificado." Assim, isso parece ser um problema geral.

Veja também esta pergunta semelhante sobre Segurança da Informação: link

Solução alternativa

Obtenha um novo certificado de assinatura muito antes de seu antigo expirar , como 6 meses, e comece a usar somente o novo certificado. Isso tem o seguinte benefício: Quando o certificado antigo expira, os e-mails com assinaturas aparentemente inválidas têm pelo menos seis meses de idade. Seus destinatários, esperamos, raramente relêem emails com 6 meses ou mais e, portanto, são menos propensos a encontrar o problema.

    
por 22.02.2018 / 13:18