Эти инструкции описать, как предотвратить использование SMIME со слабыми шифрами, однако для этого требуется дорогостоящий продукт от Microsoft.
Как я могу запретить ЦС выдавать сертификаты SMIME, которые разрешают использование слабых шифров?
Хотя в принципе вы можете хранить что угодно в сертификате X.509, не существует клиента S / MIME, который поддерживает возможности шифрования, хранящиеся в сертификате X.509. Клиент несет ответственность за решение, какой алгоритм и силу шифрования использовать при шифровании сообщения. Отправляющий клиент может хранить поддерживаемые возможности внутри большого двоичного объекта CMS. Затем принимающий клиент должен проверить, какие возможности есть, и может принять решение действовать в соответствии с этим. RFC 5751 описывает, что делать, если при отправке возможности неизвестны. RFC 5751 по умолчанию использует AES128, когда возможности неизвестны. Старые почтовые клиенты и, возможно, даже последние версии Outlook, по умолчанию используют 3DES, поскольку предыдущий RFC требовал использовать 3DES (или RC2).
Похоже, что на самом деле существует RFC для добавления возможностей S / MIME в сертификат X.509 (RFC 4262). Однако не уверен, широко ли это поддерживается. Вероятно, он поддерживается Outlook, поскольку RFC, похоже, создан моим Microsoft.