Как я могу ограничить возможности SMIME от CA, не используя FIM?
Эти инструкции описывают, как предотвратить использование SMIME со слабыми шифрами, однако это требует дорогого продукта от Microsoft.
Как я могу препятствовать тому, чтобы CA выпустил сертификаты SMIME, которые разрешают слабые шифры от того, чтобы быть используемым?
Хотя в принципе можно хранить все, что угодно в сертификате X.509, нет ни одного S/MIME-клиента, поддерживающего возможности шифрования, хранящегося в сертификате X.509. Ответственность за решение, какой алгоритм шифрования и силу шифрования использовать при шифровании сообщения, лежит на клиенте. Клиент-отправитель может хранить поддерживаемые возможности внутри блока CMS. Принимающий клиент должен проверить, каковы эти возможности, и может принять решение о дальнейших действиях. RFC 5751 описывает, что делать, когда возможности неизвестны при отправке. RFC 5751 по умолчанию имеет значение AES128, когда возможности неизвестны. Более старые почтовые клиенты, и, возможно, даже последние выпуски Outlook, имеют по умолчанию 3DES, поскольку предыдущий RFC требовался для использования 3DES (или RC2).
Кажется, что на самом деле существует RFC для добавления возможностей S/MIME к сертификату X.509 (RFC 4262). Однако, не уверен, что это широко поддерживается. Вероятно, это поддерживается Outlook, так как RFC, кажется, создан моей компанией Microsoft.
.