S/MIME-Zertifikate: Neuer S/MIME-Standard ab September 2023

Im Jahr 2020 wurde vom CA/Browser Forum die Arbeitsgruppe S/MIME Certificate Working Group mit dem Ziel gegründet, einen neuen einheitlichen Standard für S/MIME-Zertifikate zu erarbeiten. In diesem Beitrag beleuchten wir die Inhalte des neuen Standards und gehen darauf ein, welche Änderungen dadurch ab dem 1. September auf Sie zukommen. Erfahren Sie außerdem, welche Lösungen es für eine vereinfachte Verwaltung von S/MIME-Zertifikaten gibt.

Im Überblick: Was ist S/MIME?

S/MIME (Abkürzung für Secure/Multipurpose Internet Mail Extensions) ist ein weit verbreitetes technisches Protokoll zum Senden digital signierter und verschlüsselter E-Mail-Nachrichten. Eine S/MIME-Signatur ermöglicht den sicheren Austausch von verschlüsselten Nachrichten und gewährleistet die Vertraulichkeit, Integrität und Privatsphäre bei der E-Mail-Kommunikation. Mithilfe von S/MIME kann die Identität des Absenders einer E-Mail verifiziert und der Ursprung der Nachricht festgestellt werden. Dadurch ist die Nachricht vor Manipulation und Fälschung geschützt.

Erste S/MIME Baseline Requirements für mehr E-Mail-Sicherheit

Der Markt für digitale Zertifikate befindet sich momentan in einem starken Wandel: Nachdem wir bereits über große Änderungen bei SSL-Zertifikaten berichteten, die die maximale Gültigkeitsdauer der Zertifikate betreffen, gibt es bei S/MIME-Zertifikaten ebenfalls neue Standards, die einige Neuerungen mit sich bringen.

Obwohl das S/MIME-Protokoll als technisches Protokoll zum Senden digital signierter und verschlüsselter E-Mail-Nachrichten bereits weltweit etabliert und stark verbreitet ist, gab es bisher nur wenige Standards, die die Ausstellung von S/MIME-Zertifikaten für Zertifizierungsstellen (CAs) regeln.

Die im Jahr 2020 vom CA/Browser Forum gegründete Arbeitsgruppe S/MIME Certificate Working Group konzentrierte sich deshalb auf die Erarbeitung neuer S/MIME-Basisanforderungen (Baseline Requirements) mit dem Ziel, die Ausstellung und Verwaltung von S/MIME-Zertifikaten einheitlich für alle Marktteilnehmer zu regeln und damit die E-Mail-Sicherheit zu erhöhen.

Die Arbeitsgruppe, die an der Erarbeitung des neuen Standards beteiligt war, bestand aus Branchenexperten wie zum Beispiel über 30 Zertifizierungsstellen (CAs) aus der ganzen Welt, sechs E-Mail-Softwareanbietern sowie weiteren Stakeholdern, wie die PSW GROUP GmbH & Co. KG, die den S/MIME-Standard einsetzen.

Die wichtigsten Änderungen des neuen Standards für S/MIME-Zertifikate

Die von der Arbeitsgruppe erarbeiteten neuen Baseline Requirements wurden im Oktober 2022 genehmigt und werden als neuer S/MIME-Standard im September 2023 branchenweit in Kraft treten.

Die neuen Standards decken vor allen Dingen folgende Bereiche ab:

• Verkürzte Laufzeit: Die neuen S/MIME-Zertifikate dürfen nur noch mit einer maximalen Gültigkeitsdauer von zwei Jahren ausgestellt werden.

• Domain-Validierung: Wie für SSL-/TLS-Zertifikate muss bei S/MIME-Zertifikaten zukünftig die Kontrolle über die verwendete Domain nachgewiesen werden.

• Neue Zertifikatsprofile: Die Industriestandards definieren vier Zertifikattypen, die durch den Common Name des S/MIME-Zertifikats definiert werden. Jeder der Zertifikatstypen wird in drei Profile unterteilt. Diese finden Sie nachfolgend aufgelistet.

• Attribute: Änderung einzelner Zertifikatsattribute (Entfall OrganisationalUnit)

Zertifikatsprofile: Neue S/MIME-Zertifikattypen

S/MIME-Zertifikate werden nach der Umstellung in vier Zertifikatstypen unterteilt, die in den Baseline Requirements wie folgt definiert werden:

Mailbox-validated: Die Zertifikatsattribute (subject dn attributes) sind auf die (optionalen) Attribute „subject: emailAddress“ und/oder „subject: serialNumber“ begrenzt.

Individual-validated: Die Zertifikatsattribute dieses Zertifikatstyps sind nur individuelle (natürliche Personen-)Attribute.

Organization-validated: Dieser Zertifikatstyp beinhaltet nur Attribute der Organisation (juristische Person) als Zertifikatsattribute.

Sponsor-validated: Dabei handelt es sich um ein S/MIME-Zertifikat, das von einem Unternehmen an seine Mitarbeitenden ausgestellt wird. Die Zertifikatsattribute dieses Zertifikatstyps sind die Organisationsdetails sowie Attribute einer „gesponserten“ Person.

Für jeden der Zertifikatstypen werden drei Profile definiert:

Legacy: Dieses Profil dient dazu, dass die meisten aktuell verwendeten Praktiken in das neue S/MIME-Ökosystem übernommen werden können.

Multipurpose: Das Profil “Multipurpose” soll Anwendungsfälle wie Client-Authentifizierung, Dokumentsignatur usw. erleichtern. Das S/MIME-Zertifikat darf demnach für mehrere Zwecke eingesetzt werden.

Strict: Bei „Strict“ handelt es sich um das langfristige Zielprofil der SMIME-Arbeitsgruppe. Der große Unterschied zu Multipurpose und Legacy ist, dass das Strict-Profil nicht für andere Zwecke eingesetzt werden kann. Es gilt eine strengere Begrenzung von Zertifikatsattributen (subject dn attributes).

Die neuen S/MIME Baseline Requirements definieren für die drei Profile folgende Gültigkeitsdauern: Legacy-Profile ermöglichen eine maximale Gültigkeit von 1.185 Tagen, während Multipurpose und Strict bei 825 Tagen liegen.

Was ist noch wichtig?

Ab dem 28.08.2023 können alle vor diesem Datum ausgestellten S/MIME-Zertifikate nicht mehr ausgetauscht werden. Wenn das S/MIME-Zertifikat nicht mehr vorliegt, muss aufgrund der Änderung ein neues Zertifikat bestellt werden. Wir empfehlen Ihnen daher, eine Sicherung Ihres aktuellen Zertifikates durchzuführen. Speichern Sie Ihre PKCS#12-Datei (.pfx oder .p12) an einem sicheren Ort um dieses bei Bedarf später auch ohne Austausch noch einmal installieren zu können.

Aufgrund des neuen S/MIME-Standards haben sich in unserem Produktportfolio Anpassungen ergeben: S/MIME-Zertifikate der folgenden Zertifizierungsstellen wurden durch neue Produkte ersetzt:

• Sectigo
• GlobalSign
• Certum
• D-Trust

Bitte beachten Sie, dass es durch den neuen Standard zu Änderungen beim Ausstellungsprozess der S/MIME-Zertifikate kommen kann.

S/MIME-Zertifikate: Vereinfachte Verwaltung mit einer MPKI-Lösung

Verkürzte S/MIME-Zertifikatslaufzeiten werden vermutlich für einen höheren Verwaltungsaufwand sorgen. Die Gründe liegen auf der Hand: Die digitalen Zertifikate müssen häufiger ausgetauscht werden und es entstehen mehr Fehlerquellen bei Einrichtung und Installation. Um das Zertifikatsmanagement dennoch zeit- und kostensparend zu gestalten, empfiehlt sich eine Managed PKI Lösung.

Die Managed PKI (MPKI) ist ein persönlicher Account um SSL/TLS-, S/MIME- und Code-Signing-Zertifikate zu beantragen und zu managen. Beim Anlegen eines MPKI-Accounts wird das Unternehmen einmalig validiert.

Nach dieser Validierung bietet Ihnen MPKI zahlreiche Vorteile:

• Schnellere Ausstellung: Mit einer MPKI ist es möglich, selbständig innerhalb weniger Minuten S/MIME-Zertifikate für Organisationen, Partner und Kunden auszustellen.

• Kosteneinsparen: Mit einer MPKI können ganz einfach Zeit und Kosten z.B. für das Einrichten gespart werden.

• Flexibilität: Eine MPKI-Lösung ist ideal für Unternehmen, die zügig viele Zertifikate benötigen.

Vor allen Dingen für S/MIME-Zertifikate erfreut sich die Managed PKI zunehmender Beliebtheit und erleichtert die vereinfachte Ausstellung und Verwaltung.

Fazit: Neuer S/MIME-Standard wird laufend weiterentwickelt

Mit den ersten S/MIME Baseline Requirements hat das CA/Browser Forum einen wichtigen Standard geschaffen, der zur Steigerung der E-Mail-Sicherheit beitragen und wird und in Zukunft mehr Klarheit schaffen wird, was die Ausstellung von S/MIME-Zertifikaten für Zertifizierungsstellen (CAs) angeht. Der neue S/MIME-Standard wird aber laufend weiterentwickelt, weshalb es mittelfristig zu weiteren Änderungen kommen kann, wie zum Beispiel bei der maximalen Gültigkeitsdauer.

In Bezug auf die Laufzeit bei S/MIME-Zertifikaten setzt sich ein Trend fort: Die Laufzeit wird, wie auch bei SSL-Zertifikaten, mittelfristig weiter verkürzt werden. Deshalb sollte man sich bereits jetzt mit geeigneten Lösungen zur einfachen Verwaltung und Automatisierung auseinander setzten wie zum Beispiel MPKI-Lösungen oder Certificate Lifecycle Management Tools (CLM) wie essendi it.

Bei Rückfragen zu dieser Änderung steht Ihnen unser Support per E-Mail, Chat oder telefonisch zur Verfügung.