Advertencia de Apple Mail: No se puede verificar la firma del mensaje

0

Después de actualizar de Sierra a Mojave (macOS 10.14), Apple Mail comenzó a mostrar la advertencia No se puede verificar la firma del mensaje sobre todos los correos electrónicos firmados y encriptados. Al hacer clic en Detalles , dice:

La firma digital es incorrecta. Es posible que el mensaje haya sido manipulado o dañado desde que está firmado por (nombre del remitente).

Estamos utilizando certificados S / MIME firmados por una CA raíz autofirmada, pero dudo que este sea el problema. Al verificar los certificados en la aplicación Keychain, se informa que son válidos y buenos. Sin embargo, si en Apple Mail recibo el mensaje anterior y hago clic en Mostrar certificado , se informa que el certificado raíz es válido y confiable, pero el certificado S / MIME no es válido por ninguna razón obvia.

Tenga en cuenta que algunos reportan problemas similares para correos electrónicos con archivos adjuntos solamente.

    
pregunta not2savvy 20.11.2018 - 14:58

1 respuesta

0

Esto parece deberse a un error en Apple Mail, al menos en macOS 10.14.1, pero posiblemente introducido en macOS 10.13.5 como un intento de mitigar el EFAIL agujero de seguridad.

Cuando Mail está configurado para no cargar automáticamente el contenido remoto ( Preferencias > Visualización > Cargar contenido remoto en los mensajes no está marcado), el mensaje de advertencia No se puede verificar la firma del mensaje / em> se muestra para cada mensaje firmado S / MIME.

Usted puede deshacerse de la advertencia por cualquiera de las dos

  • Configurar el correo para que cargue automáticamente el contenido remoto (configurar Preferencias > Ver y gt; cargar contenido remoto en los mensajes a marcado) no recomendado
  • Al hacer clic en el botón "Cargar contenido remoto" que se muestra a la derecha del mensaje de advertencia

Sin embargo, por razones de seguridad, no se recomienda cargar contenido remoto a menos que sea de una fuente confiable.

Considero que este es un error importante por los siguientes motivos:

  • No tiene sentido que la verificación de firmas dependa de la carga de contenido remoto, ya que el archivo de firma es un archivo adjunto en línea
  • No había tal dependencia antes
  • La advertencia es muy engañosa

Incluso considero que este es un problema de seguridad grave porque:

  • La carga de contenido remoto se considera un problema de seguridad que incluso puede provocar la pérdida de contenido cifrado, como lo describe EFAIL
  • El usuario no podrá verificar la firma del mensaje sin cargar contenido remoto potencialmente peligroso

La solución originalmente estaba destinada a impedir que la aplicación de Correo cargue contenido HTML sin el consentimiento del usuario. Sin embargo, la forma en que se implementa ahora, esto también lleva a no cargar la firma adjunta.

    
respondido por el not2savvy 21.11.2018 - 17:00

Lea otras preguntas en las etiquetas