如何在不使用 FIM 的情况下限制 CA 的 SMIME 功能?

如何在不使用 FIM 的情况下限制 CA 的 SMIME 功能?

这些说明描述如何防止使用弱密码的 SMIME,但是它需要微软的昂贵产品。

如何防止 CA 颁发允许使用弱密码的 SMIME 证书?

答案1

尽管原则上您可以在 X.509 证书中存储任何内容,但据我所知,没有 S/MIME 客户端支持存储在 X.509 证书中的加密功能。客户端有责任决定在加密消息时使用哪种加密算法和强度。发送客户端可以将支持的功能存储在 CMS blob 中。然后,接收客户端应该检查功能是什么,并决定对其采取行动。RFC 5751 描述了在发送时功能未知时该怎么做。当功能未知时,RFC 5751 默认为 AES128。较旧的电子邮件客户端,甚至可能是最新的 Outlook 版本,都默认使用 3DES,因为以前的 RFC 要求使用 3DES(或 RC2)。

似乎确实有一个 RFC 用于将 S/MIME 功能添加到 X.509 证书 (RFC 4262)。但不确定这是否得到广泛支持。Outlook 可能支持它,因为 RFC 似乎是由 Microsoft 创建的。

相关内容