En la última versión hasta la fecha de Microsoft Office 2011 para Mac, concretamente la versión 14.3.9, cuando configuramos el cliente de correo electrónico Outlook 2011 para Mac para usar nuestra firma digital S/MIME, por defecto se habilita el algoritmo de firma con la opción de SHA-256, la más robusta de todas, pero la menos compatible.
Figura 1: Opciones de configuración S/MIME en Outlook 2011 para Mac |
Hasta aquí todo muy bien, muestro correo saldrá con la correspondiente firma y en general los destinatarios no tendrán problemas para visualizarlo en los dispositivos iOS o Android, así como en equipos con sistema operativo Mac OS X modernos o sistemas Microsoft Windows Vista o superiores, ya que todos soportan dicho algoritmo de firma digital.
Figura 2: Viendo un e-mail firmado con S/MIME desde un iOS 7 |
Si el destinatario de nuestro e-mail dispone del aún “inmortal” y extendido Windows XP, con la suite ofimática de Microsoft Office 2010 - última versión instalable en este sistema -, actualizado el sistema a Service Pack 3 e incluyendo las miles de actualizaciones posteriores - incluyendo en el las que se supone que este tiene soporte para algoritmo SHA-256 -, al intentar abrir nuestro correo electrónico firmado les aparecerá un cuadro de dialogo que no advierte claramente de lo que está sucediendo. El mensaje puede ocasionar confusión ya que de lo que se informa es de un error de ID digital.
Figura 3: mensaje de error visualizando el e-mail en Outlook 2010 para Windows XP SP 3 |
A más de uno nos han llamado para indicarnos que nuestro e-mail firmado no lo consiguen leer en determinados clientes de correo electrónico. Para solucionar este problema, lo más sencillo que podemos hacer es cambiar el algoritmo de firmado de SHA-256 a SHA-1. Con esta sencilla modificación en los ajustes de seguridad del correo electrónico - véase la figura 1 -, podremos ahorrar al destinatario de nuestro e-mail firmado, y en ocasiones a nosotros mismos, los quebraderos de cabeza y el tiempo que se pierde en intentar hacer la infinidad de cosas y recomendaciones inútiles que existen por la red. Esto es lo que dice Microsoft respecto al SHA-256 y el S/MIME en Windows XP:
“Windows XP SP3 implements and supports the SHA2 hashing algorithms (SHA256, SHA384, and SHA512) in the X.509 certificate validation. The changes in the certificate validation are meant to enable the scenario of the SSL/TLS authentication. Other scenarios that involve certificate validation may not work if you use certificates that are secured by using the SHA2 algorithms if the protocols and the applications do not support the SHA2 hashing algorithms. For example, the S/MIME signed e-mail verification and the Authenticode signature verification do not support the SHA2 hashing algorithms on a computer that is running Windows XP SP3.”
Lo que deja muy claro que hagamos lo que hagamos no conseguiremos leer un correo electrónico firmado con algoritmo SHA-256 en Microsoft Windows XP, cualquiera que sea sus versiones. He de aclarar que solo en la versión para Office 2011 para Mac se activa por defecto el algoritmo SHA-256 al habilitar la firma electrónica en los correos electrónicos salientes. En cualquiera de las versiones de Windows (incluida la última versión de Office 365) en las que instalemos la suite y habilitemos la firma digital, se habilitara el algoritmo SHA-1 por defecto… ¡qué curioso!
Obvio que si el correo electrónico es enviado desde un Windows Vista/7/8/8.1 con Office 2013 y con algoritmo de firma en SHA-256, tampoco podrá ser leído en Windows XP, la curiosidad del asunto, como bien mencione antes, es que solo Office 2011 para Mac es quien tiene habilitado por defecto dicho algoritmo, el resto de Microsoft Office en versiones destinadas a Windows se habilita el SHA-1. ¿Cuál es tu explicación para esta política de configuración por defecto de Microsoft?
No hay comentarios:
Publicar un comentario