web-dev-qa-db-ja.com

S / MIME証明書の有効期限が切れて更新されました。通信相手は何かする必要がありますか?

私のPKI証明書(Symantecからの電子メールのデジタルID、発行者は「VeriSignクライアント外部認証局-G3」)は1年後に有効期限が切れたため、更新しました。

S/MIMEを使用してメールの暗号化と署名を行う担当者は何かしなければならないのですか?

たとえば、S/MIMEと新しい証明書を使用してメールを暗号化した場合、受信者は何らかの方法で証明書を「インポート」するなど、特別なことを行う必要がありますか?

同様に、暗号化されたメールを送信しようとすると、「受信者の証明書の有効期限が切れています」などのエラーが表示されますか?

私と私の特派員が毎年お互いに証明書を再インポートしなければならないなら、それはお尻に大きな苦痛のようです。

4
Tyler Durden

理論は、すべてが自動的に機能することです。練習は時々異なります。

S/MIME とX.509証明書について話していると思います。 S/MIMEでメールを送信する場合:

  • 電子メールは受信者の公開鍵で暗号化されるため、現在の受信者の証明書を知っている必要があります。
  • 電子メールは秘密鍵で署名されており、署名形式には通常、独自の証明書のコピーが含まれています。

したがって、署名された電子メールを他の人に送信すると、他の人はあなたの現在の証明書を知ることになります。このようなメールを受信すると、暗号化されたメールを送信できます。これらの人々が自分の電子メールにも署名している場合は、彼らの証明書も学習し、その後暗号化された電子メールをそれらに送信できるようになります。

新しい証明書を取得したとき、通信相手はまだそれを知りません。彼らは前のものを知っているだけです。古い証明書の有効期限が切れると、暗号化された電子メールを送信できなくなります。しかし、署名された電子メールを送信するとすぐに、彼らはあなたの新しい証明書を学習し、すべてが再び正常になります。他の人の証明書のコピーの保存は、メール送信ソフトウェアによって自動的に行われることになっているため、手動でインポートする必要はありません。少なくともすべてが正常に機能する場合。

最初にあなたから署名された電子メールを受信することなく暗号化された電子メールを送信できるようにしたい場合は、証明書のコピーを置くことができます(もちろんあなたの秘密鍵は不可) )個人のWebサイト、Facebookプロフィール、または類似のもの。

(元のX.509デザイナーの夢の中で、誰もが使える証明書は、大文字のDが付いたDirectoryと呼ばれる世界中の共有ディレクトリにいつでも見つかります。これが、X.509証明書の主なIDが識別名:これはディレクトリ内の階層パスです。しかし、これは決して起こりませんでした:ディレクトリは純粋に理論上の獣のままでした。)

5
Tom Leek

連絡先が最初にメールを暗号化しようとして、期限切れのキャッシュされた証明書を使用しようとすると、「期限切れの証明書」を受け取る可能性があるという点で正しいです(これは署名されたメールのみに適用されません)。彼らの電子メールクライアントは、彼らが続く場合、彼らが続行することを許可するかもしれません。

さらに、証明書チェーンが変更された可能性があり(異なるCA証明書)、一部の受信者の電子メールクライアントから中間体が欠落している可能性があります。これは、回避策が HTTPSのセットアップ中に中間チェーンを直接使用できるようにするWebサーバー証明書で時々発生します 。ブラウザーの更新が頻繁に行われると、この問題は発生しなくなりますが、電子メールクライアントがブラウザーまたはOS証明書ストアから切り離されている場合でも、問題が発生する可能性があります。

すべてのS/MIMEメールクライアントに、チェーンと署名証明書が一般的に含まれているかどうかはわかりません。新しい証明書とチェーンを含むCMS/.p7bファイルを含む、またはリンクする署名付き(オプションで暗号化)のメールを連絡先にメールで送信することは、回避策の1つです。これにより、クライアントソフトウェアとCAデータベースの内容に応じて、いくつかのユーザー操作が必要になる可能性がありますが、両方の問題が解決されます。

問題の原因となるチェーンの変更がない場合、トムは正しいです。正常に動作しているクライアントは、メッセージを受信したときに、キャッシュされた証明書でサイレントに更新する必要があります

これはあなたにとって最初の更新のようですが、いくつかの注意点があります:

  • 「送信された」メールがどのように保存されているか(暗号化されているかどうかなど)を理解していることを確認してください。これらは暗号化されている可能性があります。つまり、古いキーを保持する必要があります
  • あなたに送られた古い暗号化されたメッセージを解読するために古いキーを保持する必要があります (クライアントが保存のためにメッセージを解読しない限り)
  • 受信者は警告を受信せずに古い署名付き電子メールを検証するために古い証明書を保持する必要があります(もちろん、あなたからの電子メールの復号化はキーの機能です)
  • 安全な物理的な場所に新しいキー/証明書のペアをエクスポートして保存してください!

(技術的に、これらのポイントのほとんどは秘密鍵が変更された場合にのみ適用されます。珍しいことですが、鍵を再利用して新しい証明書を発行することは可能です。有効期限は証明書の合成プロパティであり、鍵はそのように期限切れになりません。)

3
mr.spuratic