Los correos firmados con el estandar S/MIME proporcionan al destinatario una garantía adicional sobre la integridad del mensaje y la identificación del emisor, pero tambien revelann ciertos datos personales (nombre completo y número de DNI) al adjuntar una copia de la parte pública del certificado empleado para la firma con el proposito de que el destinatario pueda verificar nuestra firma.
Outlook imprementa S/MIME v3 para la firma de correos según la especificación RFC2632 del IETF y esta requiere que la dirección de email del emisor esté contenida en el campo subjectAltName del certificado digital utilizado para la firma, con el proposito de vincular al firmante con la dirección de correo empleada.
(extraido del RFC2632, sección 3. Using Distinguished Names for Internet Mail)
Como ninguno de los dos certificados personales que contiene el DNIe electrónico incluye mi dirección o direcciones de email (porque puedo tener varias, ¿no?) a priori no puedo utilizar estos certificados. Por suerte Outlook implementa una clave de registro que permite desactivar este requisito en el emisor. Dependiendo de la aplicación de correo que utilice el destinatario (Reveiving Agent) le aparezca un mensaje indicando que el certificado utilizado para la firma no incluye la dirección de correo.
Sending agents SHOULD make the address in the From or Sender header in a mail message match an Internet mail address in the signer's certificate.Receiving agents MUST check that the address in the From or Sender header of a mail message matches an Internet mail address in the signer's certificate, if mail addresses are present in the certificate.
La clave de registro es diferente para cada versión de Outlook, pero este método no te funcionará ni con Outlook Express ni con Microsoft Outlook Web Access.
Podeis encontrar la forma de eliminar esta verificación en el siguiente artículo técnico de Microsoft.
How to turn off e-mail matching for certificates in Outlook
http://support.microsoft.com/?id=276597
El método también os sirve para cualquier certificado digital X509V3 que no contenga vuestra dirección de correo emitido por otros proveedores como la FNMT, CamerFirma, Firma Profesional, Izenpe, CatCert, etc. (La lista completa de los Prestadores de Servicios de Certificación de Firma Electrónica en la web del Ministerio de Industria)
Los que reciben los mensajes deberán poder verificar la firma pero tambien el estado de revocación de los certificados empleados. Esto se deberá realizar accediendo a las CRL (Listas de Certificados Revocados) del proveedor de servicios de certificación que haya emitido el certificado en cuestión. El método de acceso a estas CRL dependerá de los servicios que el proveedor tenga disponibles y es posible que necesitemos alguna pieza de software
Salu2
Rames
No hay comentarios:
Publicar un comentario