Certs / chaves autoassinadas pararam de funcionar com a atualização do Thunderbird

0

Um lançamento recente do Thunderbird (entre 27 e 31) interrompeu meus CAs autoassinados, que foram usados ​​para garantir minhas chaves autoassinadas.

Uso certificados autoassinados para me comunicar com a família. Eles trabalham há anos.

Agora, uma mensagem assinada chega com o ícone de envelope lacrado como este:

envelope selado tbird com cruz vermelha

Clicar nele produz:

mensagem sobre cert não ser confiável para esse tipo de coisa

Se eu visualizar o certificado, vejo:

detalhes do certificado mostrando que está tudo bem

Portanto, parece ser confiável como uma autoridade de certificação.

Outro sintoma: quando vou enviar por e-mail o usuário que possui a chave privada autoassinada que conta com essa CA autoassinada, recebo "Não encontrou certificados para todos os destinatários, desabilite a mensagem criptografada?"

Novamente, tudo isso funcionou bem antes da atualização.

Greg Bell
fonte
Você está vendo mensagens que usam certificados antigos? (A partir das capturas de tela parece anterior a 14/2/14)
Eu não estava precisando de novos certificados, estava precisando que Tbird estivesse bem com meus antigos ... pelo menos eu não achava que precisava de novos. Veja a resposta abaixo.
Greg de Bell

Respostas:

0

Deus, bem, isso foi doloroso. Horas se passaram!

Como o Thunderbird diz, é de confiança que a CA ateste certificados SSL ... SOMENTE certificados SSL!

Existem opções no openssl.cnf para "keyUsage" e "extendedKeyUsage". Mas não consegui que isso fosse reconhecido no /etc/ssl/openssl.cnf.

Usando openssl x509 -in mykey.crt -texteu não consegui verificar se essa configuração estava fazendo alguma coisa.

O truque é criar um local , chamado basic.cnf:

[ req ]
default_bits           = 2048
distinguished_name     = req_distinguished_name
prompt                 = no


[ req_distinguished_name ]
C                      = {Country}
ST                     = {Provice/State}
L                      = {City}
O                      = {Org}
OU                     = {Org Unit}
CN                     = [email protected]
emailAddress           = [email protected]

Provavelmente pode ser ainda mais despojado que isso. Aparentemente, o padrão fornecido com o Ubuntu 14.04 está limitando o uso da chave. Porque com isso, posso usar meus encantamentos habituais para criar chaves e certificados, mas com uma nova opção -config para apontar para o arquivo de configuração simplificado:

KEYNAME=test_key
openssl genrsa -des3 -out ${KEYNAME}_private.pem 1024 -config basic.cnf
openssl req -new -key ${KEYNAME}_private.pem -out ${KEYNAME}.csr
openssl x509 -req -days 3650 -in ${KEYNAME}.csr -signkey ${KEYNAME}_private.pem -out ${KEYNAME}.crt
openssl pkcs12 -export -inkey ${KEYNAME}_private.pem -in ${KEYNAME}.crt -out ${KEYNAME}.p12

Então, importando o .crt para o Thunderbird, vejo isso agora:

insira a descrição da imagem aqui

E tudo está feliz novamente (depois de importar as novas chaves etc.)

Greg Bell
fonte
Seu exemplo basic.cnf não deve conter um keyUsagecampo?
Ángel
Não precisava dele - só posso assumir que o padrão é que seja "totalmente útil"?
Greg Bell