Налаштування параметрів «Перевірки S/MIME»

За допомогою цієї сторінки ви зможете змінити певні аспекти перевірки сертифікатів S/MIME.

Примітка

Здебільшого, цей пункт є зручнішою для користувачів версією керування параметрами, описаними у розділі «Налаштування «Системи GnuPG»». Будь-які параметри, які можна налаштувати за допомогою цього пункту, можна налаштувати і за допомогою вікна налаштування GnuPG, за винятком параметра Перевіряти чинність сертифіката кожні N годин, який є специфічним для Kleopatra.

Призначення параметрів:

Налаштування інтервалів між перевірками сертифікатів

Перевіряти чинність сертифіката кожні N годин

За допомогою цього пункту можна визначити інтервал перевірки чинності сертифікатів. Крім того, ви можете вказати інтервал між перевірками (у годинах). Ефект перевірки збігатиметься з ефектом використання пункту меню ПереглядПоказати повторно (F5) ; пунктів зміни інтервалів перевірки, що відповідають пунктам меню ІнструментиОсвіжити сертифікати OpenPGP і ІнструментиОсвіжити сертифікати X.509 , не передбачено.

Примітка

Перевірка виконується неявно у разі зміни значущих файлів ~/.gnupg. Цей пункт подібний до пунктів меню ІнструментиОсвіжити сертифікати OpenPGP і ІнструментиОсвіжити сертифікати X.509 , отже визначається зовнішніми факторами чинності сертифікатів.

Налаштування способу перевірки

Перевіряти сертифікати з використанням CRL

Якщо буде позначено цей пункт, сертифікати S/MIME будуть перевірятися на наявність у списках анулювання сертифікатів (CRL).

Опис альтернативного способу перевірки чинності сертифікатів можна знайти у розділі щодо пункту Інтерактивна перевірка сертифікатів (OCSP).

Інтерактивна перевірка сертифікатів (OCSP)

Якщо позначити цей пункт, програма перевірятиме сертифікати S/MIME за допомогою мережевого протоколу стану сертифікатів (Online Certificates Status Protocol або OCSP).

Застереження

Якщо буде вибрано цей спосіб, на сервер CA буде надсилатися запит майже кожного разу, коли ви надсилатимете або отримуватимете зашифроване повідомлення. Таким чином, теоретично можна, наприклад, надати змогу видавцеві сертифікатів стежити за тим, з ким ви обмінюєтеся електронними листами.

Щоб скористатися цим способом, вас слід ввести адресу відповідача OCSP у поле Адреса OCSP-відповідача.

Опис традиційнішого способу перевірки чинності сертифікатів, без витоку інформації щодо вашого обміну повідомленнями можна знайти у розділі щодо пункту Інтерактивна перевірка сертифікатів (OCSP).

Адреса OCSP-відповідача

Введіть тут адресу сервера для миттєвої перевірки сертифікатів (OCSP-відповідача). Типово адреса починається з http://.

Підпис OCSP-відповідача

Тут ви можете вибрати сертифікат, за допомогою якого сервер OCSP підписуватиме відповіді.

Ігнорувати службову адресу (URL) сертифікатів

У кожному з сертифікатів S/MIME зазвичай міститься адреса відповідача OCSP його видавця (подивитися, чи містить сертифікат ці відомості, можна за допомогою пункту меню СертифікатиСтворити дамп сертифіката ).

Позначення цього пункту призведе до ігнорування GpgSM відповідних адрес і переходу до використання однієї з вказаних адрес.

Скористайтеся цим пунктом, щоб, наприклад, визначити примусове використання загального проксі-сервера OCSP установи.

Як налаштувати параметри перевірки

Не перевіряти правила сертифікатів

Типово GpgSM використовує файл ~/.gnupg/policies.txt для перевірки чи дозволені правила сертифікатів. Якщо буде позначено цей пункт, правила не перевіряються.

Ніколи не звертатися до CRL

Якщо буде позначено цей пункт, списки скасування сертифікатів ніколи не використовуватимуться для перевірки сертифікатів S/MIME.

Дозволити позначення кореневих сертифікатів як надійних

Якщо буде позначено цей пункт, під час імпортування кореневого сертифіката служби сертифікації програма запитає вас про підтвердження його відбитка та про те, чи вважаєте ви цей кореневий сертифікат надійним.

Щоб можна було вважати надійним якийсь з сертифікатів, його кореневий сертифікат має бути також надійним, але спрощення імпорту надійних кореневих сертифікатів до сховища вашої системи може підірвати її безпеку.

Примітка

Вмикання цих функціональних можливостей у сервері може призвести до появи контекстних вікон PinEntry у незручний час (наприклад, під час перевірки підписів), а отже може заблокувати обробку небажаних поштових повідомлень. З цієї причини, а також оскільки бажано мати можливість скасувати надійність кореневих сертифікатів, у Kleopatra передбачено можливість налаштування рівня надійності вручну за допомогою пунктів меню СертифікатиВстановити надійність кореневого сертифіката і СертифікатиСкасувати надійність кореневого сертифіката .

Вказане у цьому пункті значення не впливає на роботу Kleopatra.

Надіслати запит щодо сертифікатів видавця, яких не вистачає

Якщо позначено цей параметр, за потреби надсилатиметься запит для сертифікатів з відсутнім видавцем (це стосується обох методів перевірки, CRL і OCSP).

Налаштування параметрів запитів HTTP

Не виконувати жодних запитів HTTP

Повністю вимкнути використання HTTP для роботи з S/MIME.

Ігнорувати HTTP-точки розподілу CRL-сертифікатів

Для відшукання місця, де знаходиться CRL, сертифікат, який слід перевірити, зазвичай, містить те, що відоме як записи «Точок розподілу CRL» (DP), які є адресами URL, що описують спосіб доступ до потрібного CRL.

Якщо буде позначено цей пункт, при пошуку адреси точки розповсюдження всі записи, що вказують використовувати протокол HTTP, будуть проігноровані.

Використовувати системний проксі

Якщо буде позначено, для всіх HTTP запитів буде використовуватися HTTP-проксі вказаний праворуч (це значення визначається змінною оточення http_proxy).

Для запитів HTTP використовувати проксі

Якщо не визначено параметрів системного проксі-сервера або ви бажаєте скористатися іншим проксі-сервером для GpgSM, ви можете ввести його адресу у це поле.

Сервер буде використано для всіх запитів HTTP, пов’язаних з S/MIME.

Синтаксис запису має бути таким: вузол:порт. Приклад: myproxy.nowhere.com:3128.

Налаштування параметрів запитів LDAP

Не виконувати жодних запитів LDAP

Повністю вимкнути використання LDAP для запитів S/MIME.

Ігнорувати LDAP-точки розподілу CRL-сертифікатів

Для відшукання місця, де знаходиться CRL, сертифікат, який слід перевірити, зазвичай, містить те, що відоме як записи «Точок розподілу CRL» (DP), які є адресами URL, що описують спосіб доступ до потрібного CRL.

Якщо буде позначено цей пункт, при пошуку адреси точки розповсюдження всі записи, що вказують використовувати протокол LDAP, будуть проігноровані.

Основний вузол для LDAP-запитів

Введення адреси сервера LDAP у це поле призведе до того, що всі запити LDAP спочатку проходитимуть через вказаний сервер. Якщо точніше, вказані в цьому пункті дані перевизначатимуть значення параметрів вузол і порт адреси LDAP, їх також буде використано, якщо у адресі не буде вказано вузла і порту.

Інші сервери LDAP буде використано, лише якщо з’єднання з «проксі-сервером» встановити не вдасться. Формат має бути таким: вузол або вузол:порт. Якщо порт не буде вказано, програма використовуватиме порт 389 (стандартний порт LDAP).