Cosa succede alle mail crittografate quando il certificato CA scade nel mio dominio Windows

8

qualcuno sa cosa accadrà alle e-mail crittografate / firmate quando scade un certificato dell'autorità radice nella mia rete di domini? Il certificato può ancora essere convalidato dai client e riconosceranno che il certificato era valido quando la posta era crittografata / firmata?

Rispettivamente cosa accadrà quando avverrà una migrazione verso una nuova infrastruttura o se installo una nuova CA-root? È necessario migrare anche il certificato radice scaduto?

windows-server-2008  ssl-certificate  certificate-authority 
Wolfgang
fonte

Risposte:

4

Posso parlare solo per comportamento in Outlook, ma ... un certificato scaduto avviserà quando un utente apre la sua e-mail dicendo che non è attendibile. Possono visualizzare il certificato scaduto e decidere se desiderano continuare e leggere l'e-mail.

È come una carta d'identità scaduta. So che usato per essere voi, ma si potrebbe avere cambiato il tuo nome o rasata la testa o qualcosa del genere ... quindi è necessario un nuovo ID prima di poter convalidare l'identità.

Per quanto riguarda la migrazione ...

Modello di affidabilità dell'autorità di certificazione

"Un certificato CA scaduto nel percorso di certificazione non invalida il percorso. Nell'infrastruttura a chiave pubblica di Windows 2000, un percorso di certificazione può essere valido purché il certificato CA fosse valido al momento dell'emissione del certificato." Quindi sì. Probabilmente dovresti mantenere il certificato root scaduto.

Daniel B.
fonte
Grazie per la risposta, il problema è che quando non mantengo il mio certificato radice scaduto, il client non può verificare se il certificato è mai stato valido !?
Wolfgang,
social.technet.microsoft.com/Forums/en/winserversecurity/thread/… La risposta principale suggerisce che si mantengono i certificati per la verifica della firma ... per come funzionerebbe potrebbe essere necessario scavare di più.
Daniel B.
Ho aggiornato la risposta con un bocconcino che ho trovato su technet che suggerirebbe di migrare il certificato scaduto.
Daniel B.
Grazie mille! L'unica domanda che mi preoccupa ancora è come gli utenti ottengano i loro vecchi certificati quando migrano verso una nuova infrastruttura PKI. Tutti gli utenti ovviamente hanno bisogno dei loro certificati per decrittografare le loro mail crittografate. Ma per quanto ne so i certificati sono archiviati in active directory, vero? In caso contrario, come sono stati salvati i certificati client? Solo tramite backup client?
Wolfgang,
Ho bloccato alcune informazioni negative nel mio ultimo commento (ora eliminato) ... quindi ecco questo invece. Desideri rinnovare i certificati scaduti dell'utente e utilizzare la stessa chiave privata; non dovrebbero aver bisogno di mantenere il loro vecchio certificato. technet.microsoft.com/en-us/library/cc758448(WS.10).aspx Non sono sicuro di come lo gestiresti se fosse integrato con AD ...
Daniel B.
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.