PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : s/mime Zertifikat verlängen, weil abgelaufen



michel_vaclav
21.10.15, 19:19
Hallo zusammen,

kein wirkliches Problem, aber ich würde gerne verstehen, ob es eine einfachere Lösung gibt.

Ich verschlüssele in kleinem Kreis meine emails mittels eines s/mime-Zertifikats. Dazu habe ich mit Hilfe von openSUSE Yast eine CA angelegt und darunter für mich und meine Frau bzw. meine Kinder entsprechende Zertifikate erstellt. In Thunderbird eingebunden und mit potenziellen Absendern die öffentlichen Schlüssel ausgetauscht funktioniert das soweit ganz gut.
Allerdings habe ich einen Fehler gemacht: die Schlüssel haben alle eine Gültigkeitsdauer von 1 Jahr. Und natürlich ist das eine Jahr jetzt rum und der Schlüssel ungültig. Nun könnte ich den Schlüssel natürlich wieder neu anlegen, allerdings stelle ich mir die Frage, ob ich als Admin der CA nicht den Schlüssel verlängern kann. Leider finde ich in Yast keine derartige Option.

Andersrum frage ich mich, ob das überhaupt sinnvoll ist, einen abgelaufenen Schlüssel wiederzubeleben. Denn wie ich festgestellt habe, weiß ja auch der potenzielle Absender, dass der Schlüssel abgelaufen ist und der mail-Client (in meinem dienstlichen Fall Outlook) weigert sich, den Schlüssel zu verwenden. Leider weigert sich Outlook sogar, die email mit einem abgelaufenen Schlüssel zu versenden (Könnte man ja trotzdem machen, liegt halt am Empfänger, ob er der Verschlüsselung traut oder nicht).

Wie sieht es mit dem Verlängern eines noch nicht abgelaufenen Schlüssel aus? Geht das irgendwie? Auch hier finde ich in Yast keine Option.

Oder bleibt mir tatsächlich nur der Weg, die zugegeben überschaubare Anzahl von Schlüsseln meiner Familie nochmals neu zu erstellen mit sehr langem Gültigkeitszeitraum und die wieder zu verteilen?
Was sind den typische Gültigkeitszeiträume?

Gruß

michel_vaclav

michel_vaclav
21.10.15, 19:47
Jetzt habe ich im Nachgang noch etwas gesucht und bin dabei fündig geworden (im negativen Sinn, denn es bestätigt, dass es nicht wirklich sinnvoll ist, zu verlängern): https://www.thunderbird-mail.de/thread/65731-alte-mails-und-abgelaufene-s-mime-zertifikate/.
Darin schreibt ein Kollege:
Ja, es ist völlig korrekt, dass Schlüssel in Form von Softwaretoken (.p12 oder .pfx) mit einer Gültigkeit von einem (bis max. 3) Jahren ausgestellt werden. Das hat etwas damit zu tun, weil ein Angreifer bei einem "erbeuteten" Schlüssel beliebig oft das Passwort austesten kann... Somit macht das natürlich Sinn, den Schlüsselklau und das Ausprobieren zeitlich zu limitieren.

/dev/null_Peter
22.10.15, 14:23
Hi michel_vaclav,

neben schon gegebenen der Begründung, warum man Zertifikate grundsätzlich nur mit befristeter Gültigkeit ausstellt, hier noch die Begründung, warum man ein Zertifikat (bzw. dessen Gültigkeit) nicht verlängern kann:
Der komplette Inhalt der Zertifikatsdatei wurde vom ausstellenden TrustCenter mit dessen privatem Schlüssel signiert. Das bedeutet, dass bei der kleinsten Manipulierung am Zertifikat dessen Signatur ungültig würde.
Auch das macht Sinn ... .


MfG Peter