Aspecten van S/MIME-validatie instellen

Op deze pagina kunt u bepaalde aspecten van de validatie van S/MIME-certificaten instellen.

Opmerking

Dit is grotendeels eenvoudig een meer gebruikersvriendelijke versie van dezelfde instellingen die u ook vindt in de paragraaf met de naam “Het GnuPG-systeem instellen”. Alles wat u hier in kan stelen, kunt u ook daar met uitzindering van Geldigheid van certificaat elke N uren controleren, wat specifiek voor Kleopatra is.

De betekenis van de opties is als volgt:

Regelmatige controle van certificaten instellen

Geldigheid van certificaat elke N uren controleren

Deze optie activeert het regelmatig controleren van geldigheid van certificaten. Ook kan het tijdinterval (in uren) ingesteld worden. Het effect van regelmatig controleren is hetzelfde als BeeldOpnieuw tonen (F5) ; er is geen voorziening voor regelmatig controleren van HulpmiddelenOpenPGP-certificaten verversen of HulpmiddelenX.509-certificaten verversen .

Opmerking

Validatie wordt impliciet uitgevoerd wordt wanneer belangrijke bestanden in ~/.gnupg veranderen. Deze optie, evenals HulpmiddelenOpenPGP-certificaten verversen en HulpmiddelenX.509-certificaten verversen , heeft daarom alleen effect bij externe factoren van de geldigheid van een certificaat.

Validatiemethode instellen

Certificaten met CRL's valideren

Wanneer deze optie is geselecteerd, zullen S/MIME-certificaten gevalideerd worden met Certificate Revocation Lists (CRL's).

Zie Certificaten online valideren (OCSP) voor een alternatieve methode van het controleren van de geldigheid van een certificaat.

Certificaten online valideren (OCSP)

Als deze optie ingeschakeld is, worden S/MIME-certificaten gevalideerd met gebruikmaking van het Online Certificates Status Protocol (OCSP).

Waarschuwing

Bij het kiezen van deze methode wordt er een verzoek naar de server van de CA verzonden, meer of minder elke keer dat u een versleuteld bericht verzendt of ontvangt, dus theoretisch stelt u de uitgevende organisatie van uw certificaat in staat om na te gaan met wie u (bijv.) e-mails uitwisselt.

Om deze methode te kunnen gebruiken moet u de URL van de OCSP server invoeren in URL-adres OCSP-dienst.

Zie Certificaten online valideren (OCSP) voor een meer traditionele methode van het controleren van de geldigheid van een certificaat die geen informatie lekt met wie u berichten uitwisselt.

URL-adres OCSP-dienst

Voer hier het adres in van de server die de certificaten online valideert (OCSP-dienst). Het URL-adres begint doorgaans met http://.

Handtekening OCSP-dienst

Hier het certificaat kiezen waarmee de OCSP-server zijn antwoorden ondertekend.

Service-URL van certificaten negeren

Elk S/MIME-certificaat bevat gewoonlijk de URL van de OCSP van de server van zijn uitgever ( CertificatenCertificaat dumpen toont of een gegeven certificaat deze bevat).

Het activeren van deze optie zorgt ervoor dat GpgSM deze URL's negeert en alleen de boven ingestelde gebruikt.

Dit bijv. gebruiken om het gebruik van een organisatie-brede OCSP proxy af te dwingen.

Validatieopties instellen

Certificaatbeleid niet controleren

Standaard gebruikt GpgSM het bestand ~/.gnupg/policies.txt om te controleren of een certificaatbeleid toegestaan is. Wanneer deze optie is geselecteerd wordt het beleid niet gecontroleerd.

Nooit een CRL raadplegen

Als deze optie ingeschakeld is, worden Certificate Revocation Lists nooit gebruikt om S/MIME-certificaten te valideren.

Sta toe om het hoofdcertificaat als vertrouwd te markeren

Als deze optie is geactiveerd, terwijl een root-CA-certificaat wordt geïmporteerd, zult u worden gevraagd om zijn vingerafdruk te bevestigen en te verklaren of u wel of niet dit root-certificaat vertrouwd.

Een root-certificaat moet vertrouwd worden voordat de certificaten die het certificeert vertrouwd worden, maar lichtvaardig root-certificaten in uw certificatenopslag vertrouwen zal de veiligheid van het systeem ondermijnen.

Opmerking

Deze functionaliteit in de backend inschakelen kan leiden tot pop-ups van PinEntry op ongewenste tijden (bijv. bij het verifiëren van handtekeningen) en kan dus onbewaakte e-mailverwerking blokkeren. Daarom en omdat het gewenst is om in staat te zijn een vertrouwd root-certificaat opnieuw te wantrouwen, staat Kleopatra handmatig instellen van vertrouwen toe met CertificatenHoofdcertificaat vertrouwen en CertificatenWantrouw hoofdcertificaat .

Deze instelling hier heeft geen invloed op het functioneren van Kleopatra.

Ontbrekende uitgevercertificaten ophalen

Wanneer deze optie is geactiveerd, zullen ontbrekende uitgevers-certificaten worden opgehaald indien nodig (dit is van toepassing op beide methoden, CRL's en OCSP).

Opties voor HTTP-verzoeken instellen

Geen HTTP-verzoeken uitvoeren

Schakelt het gebruik van HTTP voor S/MIME geheel uit.

HTTP CRL-distributiepunt van certificaten negeren

Wanneer u de locatie van een CRL aan het zoeken bent, zal het te testen certificaat items bevatten onder de naam CRL Distribution Point (DP). Deze bevatten URL's die het adres van de CRL beschrijven. Het eerste gevonden DP wordt gebruikt.

Met deze optie worden alle items met het HTTP-schema genegeerd wanneer er gezocht wordt naar een geschikte DP.

HTTP-proxy van systeem gebruiken

Wanneer deze optie is geselecteerd zal de HTTP-proxy, die rechts wordt getoond, gebruikt worden bij elk HTTP-verzoek. (De waarde hiervan komt uit de omgevingsvariabele http_proxy).

Deze proxy voor HTTP-verzoeken gebruiken

Als er geen systeemproxy is ingesteld of u moet een andere proxy voor GpgSM, gebruiken, dan kunt u hier de locatie invoeren.

Het zal voor alle HTTP-verzoeken gerelateerd aan S/MIME worden gebruikt.

De syntaxis is hostnaam:poort, bijv. mijnproxy.nergens.nl:3128..

Opties voor LDAP-verzoeken instellen

Geen LDAP-verzoeken uitvoeren

Schakelt het gebruik van LDAP voor S/MIME geheel uit.

LDAP CRL-distributiepunt van certificaten negeren

Wanneer u de locatie van een CRL aan het zoeken bent, zal het te testen certificaat items bevatten onder de naam "CRL Distribution Point" (DP). Deze bevatten URL's die het adres van de CRL beschrijven. Het eerste gevonden DP wordt gebruikt.

Met deze optie worden alle items met het LDAP-schema genegeerd wanneer er gezocht wordt naar een geschikte DP.

Primaire host voor LDAP-verzoeken

Hier een LDAP-server invoeren maakt dat alle LDAP-verzoeken eerst naar die server gaan. Meer precies, deze instelling overschrijft elke gespecificeerde hostnaam en poort in een LDAP-URL en zal ook worden gebruikt als hostnaam en poort uit de URL zijn weggelaten.

Andere LDAP-servers zullen alleen worden gebruikt als de verbinding naar de proxy mislukt. De syntaxis is hostnaam of hostnaam:poort. Als poort wordt weggelaten, dan wordt poort 389 (de standaard LDAP-poort) gebruikt.