Ativar o S/MIME hospedado para reforçar a segurança das mensagens

Este recurso só está disponível no G Suite Enterprise, G Suite for Education e G Suite Enterprise for Education.

Para aumentar a integridade e a confidencialidade das mensagens de e-mail da sua organização, você pode ativar o protocolo Secure/Multipurpose Internet Mail Extensions (S/MIME) hospedado. Para que a criptografia S/MIME funcione, ela precisa ser ativada por todos os remetentes e destinatários. Eles também precisam trocar informações de identificação exclusivas, chamadas de chaves.

Você pode garantir que determinadas mensagens só sejam enviadas ou recebidas com a criptografia ou a assinatura S/MIME. Saiba mais sobre a configuração de regras de compliance e roteamento e como reforçar a segurança das mensagens com o S/MIME hospedado.

Consulte as Perguntas frequentes sobre o S/MIME hospedado para sabe rmais sobre a criptografia reforçada e o suporte ao cliente.

Configurar o S/MIME hospedado

Se você quiser usar o S/MIME hospedado, precisará ativá-lo no Google Admin Console e fazer o upload de certificados para o Gmail. Isso pode ser programado ou alterado nas configurações do Gmail. Ao atualizar o Gmail, os usuários verão a alteração. Você também pode permitir que os usuários façam o upload dos próprios certificados e troquem essas informações para garantir que o recurso funcione corretamente.

Etapa 1: ativar o S/MIME hospedado

As instruções abaixo indicam como ativar o S/MIME e usar os controles avançados em certificados confiáveis de S/MIME para fazer o upload e gerenciar certificados raiz.

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin console, acesse Apps e G Suite e Gmail e Configurações do usuário.
  3. À esquerda, em Organizações, selecione o domínio ou a organização que você quer configurar.

    Importante: se você estiver configurando controles avançados no S/MIME para fazer o upload e gerenciar certificados raiz, precisará selecionar a organização de nível superior (geralmente seu domínio).

  4. Role até a configuração do S/MIME e marque a caixa Ativar a criptografia S/MIME para enviar e receber e-mails.

  5. (Opcional) Se você quiser permitir que os usuários façam o upload de certificados, marque a caixa Permitir que os usuários façam upload dos próprios certificados.

  6. (Controles extras opcionais) Se você quiser fazer o upload e gerenciar certificados raiz, use os controles de certificados S/MIME confiáveis:

    1. Ao lado de Aceite estes certificados raiz adicionais para domínios específicos, clique em Adicionar.
    2. Clique em Fazer upload do certificado raiz.
    3. Procure e selecione o arquivo do certificado e clique em Abrir. Você verá uma mensagem de verificação para o certificado com o nome do assunto e a data de expiração. Se houver um problema com o certificado, uma mensagem de erro aparecerá.
    4. Em Nível de criptografia, selecione o nível de criptografia que será usado com o certificado.
    5. Em Lista de endereços, digite pelo menos um domínio que usará o certificado raiz para se comunicar. Os nomes de domínio podem incluir caracteres curinga que obedecem ao padrão RFC. Use vírgulas para separar os nomes de domínio.
    6. Clique em Salvar.
    7. Repita o processo para adicionar mais certificados.
  7. Marque a caixa Permitir SHA-1 globalmente (não recomendado) apenas se o domínio ou a organização precisar usar o Algoritmo de Hash Seguro 1 (SHA-1, na sigla em inglês).
  8. Clique em Salvar.

Importante: as alterações podem levar até uma hora para serem aplicadas a todas as contas de usuário. As mensagens enviadas nesse período, inclusive nos momentos em que o recurso S/MIME é desativado e reativado, não são criptografadas.

Modificar as configurações do S/MIME da suborganização

Por padrão, as suborganizações herdam as configurações do S/MIME da organização de nível superior. Os administradores podem "modificar" as configurações do S/MIME herdadas no nível da suborganização. Esse recurso pode ser útil para desativar ou personalizar as configurações do S/MIME em suborganizações específicas. 

Para modificar as configurações do S/MIME da suborganização:

  1. Faça login no Google Admin Console.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. Na página inicial do Admin console, acesse Apps e G Suite e Gmail e Configurações do usuário.
  3. À esquerda, em Organizações, selecione a suborganização que você quer configurar.

  4. Role até a configuração do S/MIME e clique para expandi-la.
    Observação: o subtítulo abaixo do marcador da configuração do S/MIME indicará Herdado de (organização ou nome de domínio) ou Substituído.

  5. Clique em Modificar para salvar as mudanças nas configurações herdadas do S/MIME da suborganização.

Depois que as configurações da suborganização forem salvas, o status Substituído será exibido no marcador das configurações do S/MIME. Um "ponto" também é exibido ao lado das suborganizações que modificam o organograma da unidade organizacional à esquerda.

Dica: se sua suborganização tiver modificado as configurações de uma organização de nível superior, você poderá usar o botão Herdar para herdar as configurações da organização de nível superior.

Etapa 2: pedir que os usuários atualizem a página do Gmail

Depois que você ativar o S/MIME hospedado, os usuários precisarão atualizar a página do Gmail para ver a alteração. Após a atualização, um ícone de cadeado aparecerá na linha "Assunto" das mensagens de e-mail. Se a mensagem estiver criptografada com o S/MIME hospedado, o cadeado será verde.

Etapa 3: fazer o upload dos certificados

Se quiser usar a criptografia do S/MIME hospedado, você precisará fazer o upload dos certificados de usuário para o Gmail. O certificado deve atender aos padrões de criptografia atuais e usar o formato de arquivo Public-Key Cryptography Standards (PKCS) #12 (uma sintaxe de transferência para informações de identificação pessoal). Consulte este documento do Internet Engineering Task Force (em inglês) para saber mais sobre o PKCS #12.

A lista de certificados confiáveis fornecida e mantida pelo Google aplica-se apenas ao Gmail para S/MIME. A lista de autoridades de certificação (CAs, na sigla em inglês) é considerada confiável a critério do Google, que tem o direito de remover autoridades de certificação raiz a qualquer momento com ou sem motivo.

Recomendamos que os administradores façam o upload dos certificados de forma programática usando a API Gmail S/MIME. Você também pode usar a API Gmail S/MIME para gerenciar recursos como a visualização, exclusão e configuração das chaves de usuário padrão. Os usuários que você permitir podem fazer o upload dos certificados nas configurações do Gmail.

Para fazer o upload de um certificado no Gmail, siga estas etapas:

  1. Na Caixa de entrada do Gmail, escolha Configurações e Configurações.
  2. Clique na guia Contas.
  3. Na área Enviar e-mail como, clique em editar informações.

    Uma janela de mensagem com uma opção de criptografia avançada (S/MIME) aparecerá.O S/MIME e a opção Permitir que os usuários façam upload dos próprios certificados precisam estar ativados no Admin Console para que essa opção apareça.  

  4. Clique em Fazer upload de um certificado pessoal.
  5. Selecione o certificado e clique em Abrir. Você precisará fornecer uma senha para o certificado.
  6. Digite a senha e clique em Adicionar certificado.

Etapa 4: pedir que os usuários troquem as chaves

Os usuários precisam escolher uma destas opções para trocar as chaves com os destinatários de e-mails:

  • Enviar uma mensagem assinada pelo S/MIME para os destinatários. O e-mail será assinado digitalmente, e a assinatura incluirá a chave pública do usuário. Os destinatários poderão usar essa chave pública para criptografar os e-mails que eles enviarem para o usuário.
  • Pedir para os destinatários enviarem uma mensagem. Quando eles receberem a mensagem, ela estará assinada pelo S/MIME. A chave é armazenada e disponibilizada automaticamente. Depois disso, as mensagens enviadas para esse destinatário serão criptografadas com S/MIME.

Após ativar o S/MIME hospedado

Depois de ativar o S/MIME hospedado, você pode garantir que determinadas mensagens só sejam enviadas ou recebidas com a criptografia ou a assinatura S/MIME. Isso é configurado durante a criação de regras de compliance e roteamento. Saiba como reforçar a segurança das mensagens com regras e o S/MIME hospedado.

Você pode amenizar algumas restrições de segurança para adequá-las à infraestrutura de S/MIME usada no seu domínio. Por exemplo, você pode fazer o upload das autoridades de certificação raiz que não estão em compliance com as diretrizes de segurança padrão e mais rigorosas.

Controles avançados nos certificados confiáveis de S/MIME

O Google tem um conjunto de requisitos para aceitar certificados S/MIME. Mas talvez seus certificados não estejam em conformidade com esses padrões e, dependendo da configuração, você perceba que determinados e-mails não são “confiáveis”. Se for esse o caso, você poderá optar por aceitar outros certificados raiz de CAs confiáveis.

Para aceitar outro certificado raiz, faça o upload dele e aplique-o a pelo menos um domínio. Você também pode ajustar o nível de criptografia do certificado ou do perfil de validação, se necessário.

Diretrizes do certificado raiz

Criar o arquivo de certificado para upload

Diretrizes do certificado

  • O certificado precisa estar no formato .pem e pode conter apenas uma raiz.
  • A cadeia de certificados precisa incluir pelo menos um certificado intermediário.
  • Também é necessário fornecer um certificado de usuário final para cada cadeia de certificados. Se ele não for incluído, o Google realizará apenas uma verificação mínima.
  • O certificado de usuário final não pode incluir a chave privada.

Importante: pelo menos um certificado de CA intermediário precisa estar presente na cadeia, ou seja, a raiz não pode emitir certificados de entidade final diretamente.

A lista de certificados confiáveis fornecida e mantida pelo Google aplica-se apenas ao Gmail para S/MIME. A lista de autoridades de certificação (CAs, na sigla em inglês) é considerada confiável a critério do Google, que tem o direito de remover autoridades de certificação raiz a qualquer momento com ou sem motivo.

Solução de problemas de upload

Observe o seguinte para identificar e resolver erros de upload:

  • O certificado não atende aos requisitos mínimos para ser confiável.Verifique se ele não é autoassinado, não foi revogado e o comprimento da chave não é inferior a 1.024 bits. Em seguida, tente novamente.
  • O certificado tem uma assinatura inválida.Verifique se o certificado tem uma assinatura válida e tente novamente.
  • O certificado expirou. Verifique se a data no certificado está dentro do intervalo especificado nos campos "Não antes" e "Não depois" e tente novamente.
  • A cadeia de certificados enviada por upload contém pelo menos um certificado inválido. Verifique se a formatação do certificado está correta e tente novamente.
  • O certificado enviado por upload contém vários certificados raiz. Certifique-se de que o certificado tenha apenas um certificado raiz e tente novamente.
  • Não foi possível analisar o certificado. Verifique se a formatação do certificado está correta e tente novamente.
  • O servidor não conseguiu analisar o certificado ou enviou alguma resposta desconhecida. Verifique se a formatação do certificado está correta e tente novamente.
  • Não foi possível fazer o upload do certificado.Ocorreu um problema na comunicação com o servidor. Provavelmente isso é um problema temporário. Aguarde alguns minutos e tente novamente. Se o upload continuar falhando, verifique se a formatação do certificado está correta.
  • Edite um certificado raiz. Você pode editar um certificado para alterar os domínios na lista de endereços. Por exemplo, se você fez o upload de certificados personalizados e suas mensagens ainda são consideradas "não confiáveis", altere a lista de domínios permitidos.

Alterar os domínios na lista de endereços

  1. Na lista dos outros certificados raiz, selecione o certificado que você quer alterar e clique em Editar.
  2. Faça a alteração e clique em Salvar.

Observação: não é possível alterar a data de expiração nem usar a edição para substituir um certificado. Você precisará excluir o certificado e fazer o upload de um novo. A exclusão de um certificado raiz não afetará nenhum certificado de usuário final que já tenha sido enviado por upload.

Excluir um certificado raiz

Na lista de certificados raiz adicionais, selecione o certificado que você quer alterar e clique em Excluir.

Situações em que talvez seja necessário permitir o SHA-1

Alguns clientes de e-mail externos podem permitir assinaturas com hash SHA-1. Por padrão, essas assinaturas aparecem como não confiáveis porque o SHA-1 é uma função de hash que está sendo desativada (devido a problemas de segurança).Só selecione a opção "Permitir SHA-1 globalmente" se sua organização usar a função de hash criptográfica SHA-1 para a segurança de mensagens S/MIME, e você quiser que essas comunicações apareçam como confiáveis. Quando essa opção é selecionada, o Gmail confia nos certificados S/MIME que as entidades que usam esse algoritmo anexam aos e-mails recebidos.

Isso foi útil?
Como podemos melhorá-lo?