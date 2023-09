Wer seine E-Mail-Kommunikation mit S/MIME-Zertifikaten sicherer und vertraulicher gestaltet, muss sich seit dem 1. September 2023 auf Änderungen einstellen. Darauf machten die IT-Sicherheitsexperten der PSW Group aufmerksam.

Die im Jahr 2020 vom CA/Browser Forum gegründete Arbeitsgruppe S/MIME Certificate Working Group hat neue S/MIME-Basisanforderungen (Baseline Requirements) erarbeitet, mit dem Ziel, die Ausstellung und Verwaltung von S/MIME-Zertifikaten einheitlich für alle Marktteilnehmer zu regeln und damit die E-Mail-Sicherheit zu erhöhen.

„Denn obwohl das S/MIME-Protokoll bereits weltweit etabliert und stark verbreitet ist, gab es bislang nur wenige Standards, die die Ausstellung von S/MIME-Zertifikaten für Zertifizierungsstellen regeln“, begründet Patrycja Schrenk, Geschäftsführerin der PSW Group, diesen Schritt. Die PSW Group ist Teil der S/MIME-Certificate-Arbeitsgruppe, die aus Branchenexperten, darunter über 30 Zertifizierungsstellen (CAs) aus der ganzen Welt sowie E-Mail-Softwareanbietern und weiteren relevanten Stakeholdern besteht.

Die neuen Baseline Requirements sind als S/MIME-Standard im September 2023 branchenweit in Kraft getreten. Über die vier wesentlichen Neuerungen informiert Patrycja Schrenk: „Die neuen S/MIME-Zertifikate dürfen nur noch mit einer maximalen Gültigkeitsdauer von zwei Jahren ausgestellt werden. Wie für SSL-/TLS-Zertifikate muss bei S/MIME-Zertifikaten zukünftig die Kontrolle über die verwendete Domain nachgewiesen werden. Darüber hinaus werden S/MIME-Zertifikate jetzt in vier Zertifikatstypen unterteilt, wobei für jeden dieser Zertifikatstypen nun drei Profile definiert wurden. Zusätzlich wurden einzelne Zertifikatsattribute geändert, beispielsweise entfällt jetzt die OrganisationalUnit.“

Unternehmen und Einzelpersonen, die S/MIME-Zertifikate einsetzen, können seit dem 28. August 2023 die vor diesem Datum ausgestellten S/MIME-Zertifikate nicht mehr austauschen. „Wenn das S/MIME-Zertifikat nicht mehr vorliegt, müssen User aufgrund der Änderung ein neues Zertifikat bestellen. Ich empfehle daher, eine Sicherung des aktuellen Zertifikats durchzuführen“, so Schrenk. Dazu kann die PKCS#12-Datei (.pfx oder .p12) an einem sicheren Ort gespeichert werden, um dieses bei Bedarf später auch ohne Austausch noch einmal installieren zu können.

„Mit den ersten S/MIME Baseline Requirements wurde ein wichtiger Standard geschaffen, der zur Steigerung der E-Mail-Sicherheit beiträgt und der in Zukunft mehr Klarheit schaffen wird, was die Ausstellung von S/MIME-Zertifikaten für Zertifizierungsstellen angeht. Der neue S/MIME-Standard wird aber laufend weiterentwickelt, weshalb es mittelfristig zu weiteren Änderungen kommen kann, wie zum Beispiel bei der maximalen Gültigkeitsdauer“, so Schrenk weiter.

Mit einer Verkürzung der Laufzeit von S/MIME-Zertifikaten wird sich ein Trend fortsetzen, der sich bereits bei SSL-Zertifikaten durchgesetzt hat. Verkürzte S/MIME-Zertifikatslaufzeiten werden jedoch vermutlich für einen höheren Verwaltungsaufwand sorgen. Die Gründe liegen auf der Hand: Die digitalen Zertifikate müssen häufiger ausgetauscht werden, und es entstehen mehr Fehlerquellen bei Einrichtung und Installation.

Um das Zertifikats-Management dennoch zeit- und kostensparend zu gestalten, empfiehlt die Expertin die Verwendung einer Managed-PKI-Lösung: „Die Managed PKI ist ein persönlicher Account um SSL/TLS-, S/MIME- und Code-Signing-Zertifikate zu beantragen und zu managen. Sie ist ideal für Unternehmen, die zügig viele Zertifikate benötigen“, so Schrenk. Beim Anlegen eines MPKI-Accounts wird das Unternehmen einmalig validiert und erhält danach zahlreiche Vorteile. Mit einer Managed PKI ist es beispielsweise dann möglich, selbstständig innerhalb weniger Minuten S/MIME-Zertifikate für Organisationen, Partner und Kunden auszustellen. Zudem können Unternehmen dann ganz einfach Zeit und Kosten, beispielsweise für das Einrichten, sparen.

S/MIME ist die Abkürzung für Secure/Multipurpose Internet Mail Extensions und ein weit verbreitetes technisches Protokoll zum Senden digital signierter und verschlüsselter E-Mail-Nachrichten. Eine S/MIME-Signatur ermöglicht den sicheren Austausch von verschlüsselten Nachrichten und gewährleistet die Vertraulichkeit, Integrität und Privatsphäre bei der E-Mail-Kommunikation. Mithilfe von S/MIME lassen sich die Identität des Absenders einer E-Mail verifizieren und der Ursprung der Nachricht feststellen. Dies soll die Nachricht vor Manipulation und Fälschung schützen.

