Um lançamento recente do Thunderbird (entre 27 e 31) interrompeu meus CAs autoassinados, que foram usados para garantir minhas chaves autoassinadas.
Uso certificados autoassinados para me comunicar com a família. Eles trabalham há anos.
Agora, uma mensagem assinada chega com o ícone de envelope lacrado como este:
Clicar nele produz:
Se eu visualizar o certificado, vejo:
Portanto, parece ser confiável como uma autoridade de certificação.
Outro sintoma: quando vou enviar por e-mail o usuário que possui a chave privada autoassinada que conta com essa CA autoassinada, recebo "Não encontrou certificados para todos os destinatários, desabilite a mensagem criptografada?"
Novamente, tudo isso funcionou bem antes da atualização.
encryption
Greg Bell
fonte
fonte
Respostas:
Deus, bem, isso foi doloroso. Horas se passaram!
Como o Thunderbird diz, é de confiança que a CA ateste certificados SSL ... SOMENTE certificados SSL!
Existem opções no openssl.cnf para "keyUsage" e "extendedKeyUsage". Mas não consegui que isso fosse reconhecido no /etc/ssl/openssl.cnf.
Usando
openssl x509 -in mykey.crt -text
eu não consegui verificar se essa configuração estava fazendo alguma coisa.O truque é criar um local , chamado basic.cnf:
Provavelmente pode ser ainda mais despojado que isso. Aparentemente, o padrão fornecido com o Ubuntu 14.04 está limitando o uso da chave. Porque com isso, posso usar meus encantamentos habituais para criar chaves e certificados, mas com uma nova opção -config para apontar para o arquivo de configuração simplificado:
Então, importando o .crt para o Thunderbird, vejo isso agora:
E tudo está feliz novamente (depois de importar as novas chaves etc.)
fonte
keyUsage
campo?