用户邮件证书策略: expiration+renewal比无过期+撤销好吗?
用户邮件证书策略: expiration+renewal比无过期+撤销好吗?
提问于 2018-03-12 17:07:31
在我们的环境中,我们提供用户证书来签署或加密电子邮件。这是一个内部设置,意味着CA是我们组织的内部(不是公共CA),并由我们的Active Directory PKI处理。
用户证书的发出时间为一年,并由PKI自动更新。
然而,Outlook有一个副作用:每当用户打开已过期证书签名或加密的电子邮件时,Outlook都不检查该证书是否已被更新,并发出警告消息,说明证书无效,要求用户强制显示消息并忽略警告。
这对用户的教育和意识是非常糟糕的(“忽略Outlook证书警告.”)
鉴于我没有找到一种使Outlook行为正常的方法,我正在考虑另一种解决方案:颁发无限制(非常长)期限的证书,这样用户证书只有在被PKI撤销后(当用户离开组织时)才会失效。
这看起来是一个合适的政策,但是有什么副作用吗?我没有发现Microsoft的任何建议/最佳实践,所以我想知道其他人是否有此设置的经验,以及设置内部用户证书的过期日期是否有用。
回答 1
Security用户
发布于 2018-03-12 17:32:11
证书当前无效的原因与此无关。如果Outlook或任何客户端软件对来自任一类型证书(过期或撤销)的签名的有效性提出不同的结论,那么该软件就会中断,并且应该向供应商提交一份错误报告。
如果签名是在证书有效时进行的,则签名(IMnsHO)应被接受为有效;如果签名是在证书无效之后进行的,则签名不能被接受为有效。棘手之处在于确定签名是在与证书无效有关的情况下进行的。很可能没有简单的解决方案;我希望像这个提出的分布式时间戳机制或这个长期使用的时间戳电子邮件服务这样的东西是有用的。
无论如何,这可能需要更多的用户教育。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/181389
复制相关文章
相似问题
腾讯云开发者
