打开使用已过期证书签名的电子邮件时,Outlook 2007 会警告签名“无效或不受信任”(德语显示为“ungültig oder nicht vertrauenswürdig”)。
这非常具有误导性:
- 事实上,签名是正确的
- 邮件签名时证书有效
对于收件人来说,增加对消息来源的信任的一种透明方式现在却表明(至少乍一看)该消息根本不可信,而实际上唯一改变的只是阅读消息的日期!
有没有办法在不影响签名邮件处理和显示方式的情况下改变 Outlook 中的这种行为? - 或者是否有充分的理由以这种方式处理?我知道签名的日期是可以伪造的,但情况总是如此:签名不能证明邮件的日期,只能证明邮件的来源!
我发现这个问题Outlook S/MIME 证书过期,但遗憾的是,这只是略微相关。
答案1
概括
尽我所知,没有办法解决这个问题至少不会严重破坏签名检查。其他邮件客户端的行为与 Outlook 类似,但我认为这种行为没有什么好理由。
细节
我查看了 GPO 设置,但没有找到可以解决这个问题而其他一切都保持原样的设置。不过有一个设置“将 2 级错误提升为错误,而不是警告”;它的描述说,启用该设置会将一些问题降级为警告,否则这些问题将是错误(在我看来,这个描述与名称所暗示的相反)。过期问题不在问题示例列表中,但它可能仍然有效,因为那里的问题更糟糕(比如根本找不到签名证书)。我没有尝试这个,因为这个设置的范围很广,但如果你真的很绝望,它可能是一个选择 ;-)。
Outlook 2010 和 2013 也出现了这种行为,似乎违反了 RFC,但微软目前还没有解决这个问题:https://social.technet.microsoft.com/Forums/office/en-US/ec808b17-ee00-4717-9fc1-f877085dc34c/outlook-2010-signed-messages-are-falsely-marked-as-having-an-invalid-signature?forum=outlook
我可以确认这在 Outlook 2016 中仍然可以重现。
在我的测试中,Thunderbird 的行为与 Outlook 完全相同,甚至错误地说问题的原因是“用于签署邮件的证书是由您不信任的证书颁发机构颁发的。”因此,这似乎是一个普遍的问题。
另请参阅有关信息安全的类似问题:https://security.stackexchange.com/questions/52254/reading-older-mails-signed-with-a-certificate-that-has-meanwhile-expired
解决方法
在旧签名证书到期之前获取新的签名证书,比如 6 个月,然后开始只使用新证书。这样做有以下好处:当旧证书过期时,带有看似无效签名的邮件至少有 6 个月的历史。您的收件人希望很少重新阅读 6 个月或更早的邮件,因此不太可能遇到问题。