Tengo un certificado S / MIME de StartSSL, que exporté desde el navegador, importé a mi llavero y, como esperaba, Mail.app ahora está firmando mis mensajes salientes.
Sin embargo, algunos clientes parecen tener problemas para confiar en este certificado. He rastreado el problema hasta el hecho de que el smime.p7s adjunto no está completo.
Un smime.p7s válido para un certificado de startssl tiene dos certificados: la cadena de certificados completa hasta la raíz. Ejemplo:
$ cat valid.eml | openssl smime -pk7out | openssl pkcs7 -print_certs
subject=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Client CA
issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Certification Authority
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
subject=/description=aBcDeFg1234/[email protected]/[email protected]
issuer=/C=IL/O=StartCom Ltd./OU=Secure Digital Certificate Signing/CN=StartCom Class 1 Primary Intermediate Client CA
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
Sin embargo, el smime.p7s que Mail.app adjunta a mis correos electrónicos solo tiene el segundo certificado, el que está vinculado a mi propia cuenta y pierde el otro, lo que resulta necesario para muchos clientes para verificar la firma.
¿Alguna idea de cómo puedo solucionar esto?
El problema es que los certificados PKCS12 de StartCom son malos. Deberían proporcionar una CA intermedia actual que sea válida, pero en su lugar, su CA intermedia expiró en 2012 y le están diciendo que descargue una intermedia diferente de su sitio web. StartCom debería actualizar sus sistemas.
fuente