Outlook warnt vor einem abgelaufenen Absenderzertifikat, das beim Senden von S / MIME-Mail nicht abgelaufen ist

925
Alexander Kosubek

Beim Öffnen einer E-Mail, die mit einem abgelaufenen Zertifikat signiert wurde, warnt Outlook 2007, dass die Signatur "ungültig oder nicht vertrauenswürdig" ist (als "ungültig oder nicht vertrauenswürdig" bezeichnet).

Das ist sehr irreführend:

  • Die Unterschrift ist tatsächlich korrekt
  • Das Zertifikat war gültig, als die Nachricht signiert wurde

Eine transparente Methode, um dem Empfänger Vertrauen in den Ursprung der Nachricht zu verleihen, legt nun (zumindest auf den ersten Blick) nahe, dass die Nachricht überhaupt nicht vertrauenswürdig ist, wenn sich nur das Datum geändert hat, an dem die Nachricht tatsächlich geändert wurde Nachricht wird gelesen!

Gibt es eine Möglichkeit, dieses Verhalten in Outlook zu ändern, ohne die Art und Weise zu beeinträchtigen, wie signierte Nachrichten im Allgemeinen behandelt und angezeigt werden? - Oder gibt es einen guten Grund, so zu handeln? Mir ist bekannt, dass das Datum, an dem die Signatur erstellt wurde, gefälscht werden konnte, aber das könnte immer der Fall sein: Die Signatur ist kein Weg, um das Datum einer Mail zu beweisen, nur den Ursprung!

Ich habe diese Frage zum Ablauf des Outlook-S / MIME-Zertifikats gefunden, aber leider hängt sie nur geringfügig zusammen.

1

1 Antwort auf die Frage

1
Froggy

Zusammenfassung

Nach meinem besten Wissen gibt es keine Möglichkeit, dies zu lösen, zumindest ohne die Signaturprüfung ernsthaft zu brechen. Andere Mail-Clients verhalten sich ähnlich wie Outlook, obwohl ich denke, dass es keinen guten Grund für dieses Verhalten gibt .

Einzelheiten

Ich habe die GPO-Einstellungen überprüft, aber ich habe keine gefunden, die dieses Problem beheben und alles andere intakt lassen würde. Es gibt jedoch eine Einstellung "Fehler der Stufe 2 als Fehler, nicht als Warnung" befördern. Die Beschreibung besagt, dass das Aktivieren der Einstellung einige Probleme auf Warnungen zurückführt, die andernfalls Fehler wären (meiner Meinung nach ist diese Beschreibung das Gegenteil von dem, was der Name vermuten lässt). Das Ablaufproblem ist nicht in der Beispielliste der Probleme enthalten, kann aber dennoch funktionieren, da die Probleme dort viel schlimmer sind (z. B. wenn das Signaturzertifikat überhaupt nicht gefunden wird). Ich habe das wegen des großen Umfangs dieser Einstellung nicht versucht, aber es könnte eine Option sein, wenn Sie wirklich verzweifelt sind ;-).

Outlook 2010 und 2013 zeigen auch dieses Verhalten, es scheint die RFCs zu verletzen, aber Microsoft arbeitet derzeit nicht an dem Problem: https://social.technet.microsoft.com/Forums/office/en-US/ec808b17-ee00- 4717-9fc1-f877085dc34c / outlook-2010-signs-messages-are-falsely-als-eine-ungültig-signiert? Forum = outlook

Ich kann bestätigen, dass dies in Outlook 2016 noch reproduzierbar ist.

In meinen Tests verhält sich Thunderbird identisch mit Outlook und sagt sogar fälschlicherweise, dass die Ursache des Problems darin bestand "Das Zertifikat, mit dem die Nachricht signiert wurde, wurde von einer Zertifizierungsstelle ausgestellt, der Sie für die Ausstellung dieser Art von Zertifikat nicht vertrauen." Dies scheint also ein allgemeines Problem zu sein.

Siehe auch diese ähnliche Frage zur Informationssicherheit: https://security.stackexchange.com/questions/52254/reading-older-mails-signed-with-a-certificate-that-meanwhile-expired

Problemumgehung

Erhalten Sie ein neues Signaturzertifikat, lange bevor Ihr altes Zertifikat abläuft (z. B. 6 Monate), und verwenden Sie nur das neue Zertifikat. Dies hat den folgenden Vorteil: Wenn das alte Zertifikat abläuft, sind Mails mit scheinbar ungültigen Signaturen mindestens 6 Monate alt. Ihre Empfänger lesen hoffentlich E-Mails, die älter als 6 Monate sind, nur selten neu und sind daher seltener mit dem Problem konfrontiert.

Vielen Dank für Ihr Feedback. Ich habe die Antwortstruktur verbessert und hoffentlich ist es jetzt einfacher, die Nachricht zu erhalten. Froggy vor 6 Jahren 1