Outlook предупреждает об истечении срока действия сертификата отправителя, срок действия которого не истек при отправке почты S / MIME

662
Alexander Kosubek

При открытии электронного письма, которое было подписано сертификатом, срок действия которого истек, Outlook 2007 предупреждает, что подпись «недействительна или не является доверенной» (отображается на немецком языке как «ungültig oder nicht vertrauenswürdig»).

Это очень вводит в заблуждение:

  • Подпись, на самом деле, правильная
  • Сертификат был действителен, когда сообщение было подписано

То, что было прозрачным способом добавления доверия к источнику сообщения для получателя, теперь предполагает (по крайней мере, на первый взгляд), что сообщение вообще не заслуживает доверия, когда единственное, что фактически изменилось, - это дата, когда сообщение прочитано!

Есть ли способ изменить это поведение в Outlook без ущерба для способа обработки подписанных сообщений и их отображения в целом? - Или есть веская причина, чтобы справиться с этим? Я знаю, что дата создания подписи может быть подделана, но это всегда может быть так: подпись - это не способ доказать дату письма, а только происхождение!

Я нашел этот вопрос об истечении срока действия сертификата Outlook S / MIME, но, к сожалению, он только слегка связан.

1

1 ответ на вопрос

1
Froggy

Резюме

Насколько мне известно, нет способа решить эту проблему, по крайней мере без серьезного нарушения проверки подписи. Другие почтовые клиенты ведут себя аналогично Outlook, хотя я думаю, что для такого поведения нет веских причин .

подробности

Я просмотрел настройки объекта групповой политики, но не нашел ни одного, который мог бы решить эту проблему и оставить все остальное без изменений. Тем не менее, есть параметр «Продвигать ошибки уровня 2 как ошибки, а не предупреждения»; в его описании говорится, что включение параметра снижает некоторые проблемы вплоть до предупреждений, которые в противном случае были бы ошибками (на мой взгляд, это описание противоположно тому, что предлагает название). Проблема с истечением срока действия отсутствует в списке примеров проблем, но она все еще может работать, так как проблемы там намного хуже (например, вообще не найти сертификат подписи). Я не пробовал это из-за огромной степени этого параметра, но это может быть вариант, если вы действительно в отчаянии ;-).

Outlook 2010 и 2013 также демонстрируют это поведение, похоже, нарушающее RFC, но Microsoft в настоящее время не работает над этой проблемой: https://social.technet.microsoft.com/Forums/office/en-US/ec808b17-ee00- 4717-9fc1-f877085dc34c / прогноз-2010-знаково-сообщения-которые-ложно-разметкой, как-имеющий-ан-недействительных подписи? форум = прогноз

Я могу подтвердить, что это все еще воспроизводимо в Outlook 2016.

В моих тестах Thunderbird вел себя идентично Outlook и даже ложно говорил, что причиной проблемы было «Сертификат, использованный для подписи сообщения, был выдан центром сертификации, которому вы не доверяете при выдаче такого рода сертификата». Таким образом, это кажется общей проблемой.

См. Также аналогичный вопрос по информационной безопасности: https://security.stackexchange.com/questions/52254/reading-older-mails-signed-with-a-certificate-that-has-mean while-expired

Временное решение

Получите новый сертификат подписи задолго до истечения срока действия старого, например 6 месяцев, и начните использовать только новый сертификат. Это имеет следующее преимущество: Когда срок действия старого сертификата истекает, письма с кажущимися недействительными подписями имеют возраст не менее 6 месяцев. Надеемся, что ваши получатели редко перечитывают почту старше 6 месяцев и, следовательно, с меньшей вероятностью столкнутся с проблемой.

Спасибо за ваш отзыв. Я улучшил структуру ответа, и, надеюсь, теперь легче получить сообщение. Froggy 6 лет назад 1

Похожие вопросы