Neuer Standard für E-Mail-Zertifikate im August 2023

Das CA/Browser Forum, das Standardisierungsgremium für Zertifikate im Internet, hat Anfang Jahr einen neuen Standard für E-Mail-Zertifikate beschlossen, die «Baseline Requirements for the Issuance and Management of Publicly-Trusted S/MIME Certificates» (S/MIME BR). Dieser Standard muss ab spätestens dem 1. September 2023 eingehalten werden.

SwissSign wird die Umstellung auf diese neue Norm per August 2023 vornehmen. Die detaillierten Daten werden in unserem News-Feed publiziert werden.
 

Was ändert sich mit der Umstellung per August 2023?

Es ist uns ein grosses Anliegen, die Auswirkungen auf unsere Kunden so gering als möglich zu halten. Folgende Neuerungen, welche gegen aussen sichtbar werden, müssen zukünftig zwingend umgesetzt werden:
 

• Passwort-Generierung: Es ist weiterhin erlaubt, den privaten Schlüssel für ein E-Mail-Zertifikat von SwissSign generieren zu lassen. Bisher konnten die Operatoren einer MPKI das Passwort zum Schutz des privaten Schlüssels selbst definieren. Zukünftig muss SwissSign dieses Passwort generieren.
• Domain-Validierung: Wie für SSL-/TLS-Zertifikate muss die verwendete Domain jährlich neu validiert werden. Diese Anpassung wurde auf unserer neuen CA-Plattform bereits implementiert, bereits migrierte Kunden werden keinen Unterschied bemerken. Kunden, die noch nicht migriert haben, werden Ihre E-Mail-Domain neu validieren müssen – wir empfehlen deshalb, so rasch wie möglich, auf die neue Plattform umzusteigen.  
• Zertifikatsprofile: Die E-Mail-Zertifikate werden nach der Umstellung ein leicht anderes Aussehen haben. Z.B. neu enthalten die Pro S/MIME E-Mail ID Gold Zertifikate die Handelsregister-Nummer (oder einen analogen Eintrag, z.B. zur Bezeichnung von Registrierungsstellen). Dafür wird ein neues Attribut namens «OrganizationIdentifier» eingefügt.
   

Mittelfristige Änderungen

Bei den S/MIME BR handelt es sich um einen Standard, der laufend weiterentwickelt wird. Es sind deshalb mittelfristig weitere Änderungen absehbar, die aber noch nicht am 1. September 2023 umgesetzt werden müssen. Als Vorabinformation weisen wir aber auf die folgenden zukünftigen Anpassungen hin:
 

• CAs: Es werden neue CA-Zertifikate für die Ausstellung der E-Mail-Zertifikate erstellt werden müssen. Es besteht derzeit kein Handlungsbedarf.  
• Laufzeit: Die maximale Laufzeit wird zukünftig von drei auf zwei Jahre verkürzt werden.
• Vor- und Nachname: Pro S/MIME E-Mail ID Gold Zertifikate werden den Vornamen und den Nachnamen (oder das Pseudonym) als eigene Attribute enthalten müssen.

Weitere Informationen zu diesen Entwicklungen und das Inkrafttreten neuer Standards werden zu einem späteren Zeitpunkt folgen.