Im Jahr 2020 wurde vom CA\/Browser Forum die Arbeitsgruppe S\/MIME Certificate Working Group mit dem Ziel gegr\u00fcndet, einen neuen einheitlichen Standard f\u00fcr S\/MIME-Zertifikate zu erarbeiten. In diesem Beitrag beleuchten wir die Inhalte des neuen Standards und gehen darauf ein, welche \u00c4nderungen dadurch ab dem 1. September auf Sie zukommen. Erfahren Sie au\u00dferdem, welche L\u00f6sungen es f\u00fcr eine vereinfachte Verwaltung von S\/MIME-Zertifikaten gibt.<\/p>\n
<\/p>\n
S\/MIME<\/a> (Abk\u00fcrzung f\u00fcr Secure\/Multipurpose Internet Mail Extensions) ist ein weit verbreitetes technisches Protokoll zum Senden digital signierter und verschl\u00fcsselter E-Mail-Nachrichten<\/strong>. Eine S\/MIME-Signatur erm\u00f6glicht den sicheren Austausch von verschl\u00fcsselten Nachrichten und gew\u00e4hrleistet die Vertraulichkeit, Integrit\u00e4t und Privatsph\u00e4re bei der E-Mail-Kommunikation. Mithilfe von S\/MIME kann die Identit\u00e4t des Absenders einer E-Mail verifiziert und der Ursprung der Nachricht festgestellt werden. Dadurch ist die Nachricht vor Manipulation und F\u00e4lschung gesch\u00fctzt.<\/p>\n Der Markt f\u00fcr digitale Zertifikate befindet sich momentan in einem starken Wandel: Nachdem wir bereits \u00fcber gro\u00dfe \u00c4nderungen bei SSL-Zertifikaten<\/a> berichteten, die die maximale G\u00fcltigkeitsdauer der Zertifikate betreffen, gibt es bei S\/MIME-Zertifikaten ebenfalls neue Standards, die einige Neuerungen mit sich bringen.<\/p>\n Obwohl das S\/MIME-Protokoll<\/strong> als technisches Protokoll zum Senden digital signierter und verschl\u00fcsselter E-Mail-Nachrichten bereits weltweit etabliert und stark verbreitet ist, gab es bisher nur wenige Standards, die die Ausstellung von S\/MIME-Zertifikaten f\u00fcr Zertifizierungsstellen (CAs) regeln.<\/p>\n Die im Jahr 2020 vom CA\/Browser Forum gegr\u00fcndete Arbeitsgruppe S\/MIME Certificate Working Group<\/strong> konzentrierte sich deshalb auf die Erarbeitung neuer S\/MIME-Basisanforderungen (Baseline Requirements) mit dem Ziel, die Ausstellung und Verwaltung von S\/MIME-Zertifikaten<\/a> einheitlich f\u00fcr alle Marktteilnehmer zu regeln und damit die E-Mail-Sicherheit zu erh\u00f6hen.<\/p>\n Die Arbeitsgruppe, die an der Erarbeitung des neuen Standards beteiligt war, bestand aus Branchenexperten wie zum Beispiel \u00fcber 30 Zertifizierungsstellen (CAs)<\/strong> aus der ganzen Welt, sechs E-Mail-Softwareanbietern sowie weiteren Stakeholdern, wie die PSW GROUP GmbH & Co. KG, die den S\/MIME-Standard einsetzen.<\/p>\n Die von der Arbeitsgruppe erarbeiteten neuen Baseline Requirements<\/a> wurden im Oktober 2022 genehmigt und werden als neuer S\/MIME-Standard im September 2023 branchenweit in Kraft treten.<\/p>\n Die neuen Standards decken vor allen Dingen folgende Bereiche ab:<\/strong><\/p>\n \u2022 Verk\u00fcrzte Laufzeit:<\/strong> Die neuen S\/MIME-Zertifikate d\u00fcrfen nur noch mit einer maximalen G\u00fcltigkeitsdauer von zwei Jahren ausgestellt werden.<\/p>\n \u2022 Domain-Validierung:<\/strong> Wie f\u00fcr SSL-\/TLS-Zertifikate muss bei S\/MIME-Zertifikaten zuk\u00fcnftig die Kontrolle \u00fcber die verwendete Domain nachgewiesen werden.<\/p>\n \u2022 Neue Zertifikatsprofile:<\/strong> Die Industriestandards definieren vier Zertifikattypen, die durch den Common Name des S\/MIME-Zertifikats definiert werden. Jeder der Zertifikatstypen wird in drei Profile unterteilt. Diese finden Sie nachfolgend aufgelistet.<\/p>\n \u2022 Attribute:<\/strong> \u00c4nderung einzelner Zertifikatsattribute (Entfall OrganisationalUnit)<\/p>\n S\/MIME-Zertifikate werden nach der Umstellung in vier Zertifikatstypen unterteilt, die in den Baseline Requirements wie folgt definiert werden:<\/p>\n Mailbox-validated:<\/strong> Die Zertifikatsattribute (subject dn attributes) sind auf die (optionalen) Attribute \u201esubject: emailAddress\u201c und\/oder \u201esubject: serialNumber\u201c begrenzt.<\/p>\n Individual-validated:<\/strong> Die Zertifikatsattribute dieses Zertifikatstyps sind nur individuelle (nat\u00fcrliche Personen-)Attribute.<\/p>\n Organization-validated:<\/strong> Dieser Zertifikatstyp beinhaltet nur Attribute der Organisation (juristische Person) als Zertifikatsattribute.<\/p>\n Sponsor-validated:<\/strong> Dabei handelt es sich um ein S\/MIME-Zertifikat, das von einem Unternehmen an seine Mitarbeitenden ausgestellt wird. Die Zertifikatsattribute dieses Zertifikatstyps sind die Organisationsdetails sowie Attribute einer \u201egesponserten\u201c<\/strong> Person.<\/p>\n Legacy:<\/strong> Dieses Profil dient dazu, dass die meisten aktuell verwendeten Praktiken in das neue S\/MIME-\u00d6kosystem \u00fcbernommen werden k\u00f6nnen.<\/p>\n Multipurpose:<\/strong> Das Profil \u201cMultipurpose\u201d soll Anwendungsf\u00e4lle wie Client-Authentifizierung, Dokumentsignatur usw. erleichtern. Das S\/MIME-Zertifikat darf demnach f\u00fcr mehrere Zwecke eingesetzt werden.<\/p>\n Strict:<\/strong> Bei \u201eStrict\u201c handelt es sich um das langfristige Zielprofil der SMIME-Arbeitsgruppe. Der gro\u00dfe Unterschied zu Multipurpose und Legacy ist, dass das Strict-Profil nicht f\u00fcr andere Zwecke eingesetzt werden kann. Es gilt eine strengere Begrenzung von Zertifikatsattributen (subject dn attributes).<\/p>\n Die neuen S\/MIME Baseline Requirements definieren f\u00fcr die drei Profile folgende G\u00fcltigkeitsdauern: Legacy-Profile<\/strong> erm\u00f6glichen eine maximale G\u00fcltigkeit von 1.185 Tagen, w\u00e4hrend Multipurpose<\/strong> und Strict<\/strong> bei 825 Tagen liegen.<\/p>\n Ab dem 28.08.2023 k\u00f6nnen alle vor diesem Datum ausgestellten S\/MIME-Zertifikate nicht mehr ausgetauscht werden<\/strong>. Wenn das S\/MIME-Zertifikat nicht mehr vorliegt, muss aufgrund der \u00c4nderung ein neues Zertifikat bestellt werden. Wir empfehlen Ihnen daher, eine Sicherung Ihres aktuellen Zertifikates durchzuf\u00fchren. Speichern Sie Ihre PKCS#12-Datei (.pfx oder .p12) an einem sicheren Ort um dieses bei Bedarf sp\u00e4ter auch ohne Austausch noch einmal installieren zu k\u00f6nnen.<\/p>\n Aufgrund des neuen S\/MIME-Standards haben sich in unserem Produktportfolio<\/strong> Anpassungen ergeben: S\/MIME-Zertifikate der folgenden Zertifizierungsstellen wurden durch neue Produkte ersetzt:<\/p>\n Bitte beachten Sie, dass es durch den neuen Standard zu \u00c4nderungen beim Ausstellungsprozess<\/strong> der S\/MIME-Zertifikate kommen kann.<\/p>\n Verk\u00fcrzte S\/MIME-Zertifikatslaufzeiten werden vermutlich f\u00fcr einen h\u00f6heren Verwaltungsaufwand sorgen. Die Gr\u00fcnde liegen auf der Hand: Die digitalen Zertifikate m\u00fcssen h\u00e4ufiger ausgetauscht werden und es entstehen mehr Fehlerquellen bei Einrichtung und Installation. Um das Zertifikatsmanagement dennoch zeit- und kostensparend zu gestalten, empfiehlt sich eine Managed PKI L\u00f6sung<\/a>.<\/p>\n Die Managed PKI (MPKI) ist ein pers\u00f6nlicher Account um SSL\/TLS-, S\/MIME- und Code-Signing-Zertifikate zu beantragen und zu managen. Beim Anlegen eines MPKI-Accounts wird das Unternehmen einmalig validiert.<\/p>\n Nach dieser Validierung bietet Ihnen MPKI zahlreiche Vorteile:<\/strong><\/p>\n \u2022 Schnellere Ausstellung:<\/strong> Mit einer MPKI ist es m\u00f6glich, selbst\u00e4ndig innerhalb weniger Minuten S\/MIME-Zertifikate f\u00fcr Organisationen, Partner und Kunden auszustellen.<\/p>\n \u2022 Kosteneinsparen:<\/strong> Mit einer MPKI k\u00f6nnen ganz einfach Zeit und Kosten z.B. f\u00fcr das Einrichten gespart werden.<\/p>\n \u2022 Flexibilit\u00e4t:<\/strong> Eine MPKI-L\u00f6sung ist ideal f\u00fcr Unternehmen, die z\u00fcgig viele Zertifikate ben\u00f6tigen.<\/p>\n Vor allen Dingen f\u00fcr S\/MIME-Zertifikate erfreut sich die Managed PKI zunehmender Beliebtheit und erleichtert die vereinfachte Ausstellung und Verwaltung.<\/p>\n Mit den ersten S\/MIME Baseline Requirements hat das CA\/Browser Forum einen wichtigen Standard geschaffen, der zur Steigerung der E-Mail-Sicherheit beitragen und wird und in Zukunft mehr Klarheit schaffen wird, was die Ausstellung von S\/MIME-Zertifikaten f\u00fcr Zertifizierungsstellen (CAs) angeht. Der neue S\/MIME-Standard wird aber laufend weiterentwickelt, weshalb es mittelfristig zu weiteren \u00c4nderungen kommen kann, wie zum Beispiel bei der maximalen G\u00fcltigkeitsdauer.<\/p>\n In Bezug auf die Laufzeit bei S\/MIME-Zertifikaten setzt sich ein Trend fort:<\/strong> Die Laufzeit wird, wie auch bei SSL-Zertifikaten, mittelfristig weiter verk\u00fcrzt werden. Deshalb sollte man sich bereits jetzt mit geeigneten L\u00f6sungen zur einfachen Verwaltung und Automatisierung auseinander setzten wie zum Beispiel MPKI-L\u00f6sungen oder Certificate Lifecycle Management Tools (CLM) wie essendi it.<\/p>\n Bei R\u00fcckfragen zu dieser \u00c4nderung steht Ihnen unser Support per E-Mail, Chat oder telefonisch<\/a> zur Verf\u00fcgung.<\/p>\nErste S\/MIME Baseline Requirements f\u00fcr mehr E-Mail-Sicherheit<\/h2>\n
Die wichtigsten \u00c4nderungen des neuen Standards f\u00fcr S\/MIME-Zertifikate<\/h2>\n
Zertifikatsprofile: Neue S\/MIME-Zertifikattypen<\/h2>\n
F\u00fcr jeden der Zertifikatstypen werden drei Profile definiert:<\/h3>\n
Was ist noch wichtig?<\/h3>\n
\n
S\/MIME-Zertifikate: Vereinfachte Verwaltung mit einer MPKI-L\u00f6sung<\/h3>\n
Fazit: Neuer S\/MIME-Standard wird laufend weiterentwickelt<\/h2>\n