Hallo zusammen,
vor Kurzem ist mir Web Key Directory für die automatische Verteilung von öffentlichen openPGP-Schlüsseln über den Weg gelaufen.
Die Grundidee ist: Verschickt man eine mit PGP Verschlüsselte Mail an hansdampf@hirschendomain.de, dann prüfen alle aktuellen PGP-Clients (gpg4win, Thunderbird etc.), ob es auf openpgpkey.hirschendomain.de/.well-known/openpgpgkey/hu/ (direct Mode) ODER openpgpkey.hirschendomain.de/.well-known/openpgpgkey/hirschendomain.de/hu/ einen öffentlichen Schlüssel gibt, der in einer Datei ohne Endung mit dem Namen derEntsprechendeWKDHashvonhansdapf liegt.
Ist das der Fall, wird dieser Schlüssel automatisch heruntergeladen und für die Verschlüsselung genutzt.
Um das für die eigene Domain machen zu können, sind 3 Dinge nötig:
1. Die Möglichkeit einen öffentlichen DNS-Record für openpgpkey.hirschendomain.de setzen zu können
2. ein Webserver mit open genannter Ordnerstruktur der application/octet-stream bereitstellt
3. der Webserver muss das ein gültiges Zertifikat für openpgpkey.hirschendomain.de haben
Nun war die Idee: Wenn für OWA ohnehin ein Webserver da ist, könnte man den nicht dafür nutzen?
Folgendes scheint zu funktionieren:
- In den Zertifikatsassistent von Franky den Eintrag openpgpkey.hirschendomain.de zusätzlich zu autodiscover und der OWA-Adresse eintragen (entsprechend die Zeile $DetermineExchangeFQDNs auf $false setzen und die 3 DNS Einträge eintragen).
- Die Unterordner openpgpkey, hirschendomain und hu im Well-Known Verzeichnis erstellen
- Im Ordner openpgpkey eine web.config erstellen die für den Unterordner hirschendomain application/octet-stream für Dateien ohne Ending erzwingt
- einen CNAME für openpgpkey.hirschendomain.de auf z.b. autodiscover.hirschendomain.de legen.
Wie die Schlüssel gehasht werden usw. ist schön hier erklärt: https://www.kuketz-blog.de/gnupg-web-key-directory-wkd-einrichten/
Allerdings wird dort nur nginx und apache behandelt, kein IIS.
Gerade für kleine Läden (< 10 User) kann man das auch entspannt per Hand administrieren.
Fallen jemandem Gründe ein, warum man das nicht tun sollte?
Gruß,
Drohnald
P.s.: Wenn das hier falsch ist, gerne verschieben.
Hallo Drohald,
zu PGP kann ich leider wenig sagen, ich würde mal behaupten, dass die Verbreitung von PGP hier sehr gering ist. Zumindest ist mir bisher keine mit Mail untergekommen welche mit PGP signiert oder verschlüsselt war. Soll natürlich nix heißen, ich würde aber vermuten das S/MIME deutlich verbreiteter ist.
Ich denke es spricht aber auch nichts dagegen, es mal zu testen. Du musst nur beachten, dass unter Umständen Änderungen an den virtuellen Verzeichnissen durch Exchange CUs überschrieben werden. Daher ist etwas Vorsicht ratsam.
Gruß,
Frank