Hauptbereich
Neue S/MIME-Vorgaben: Wichtige Änderungen für Ihre E-Mail-Zertifikate ab Juli 2025
Warum sich SwissSign-S/MIME-Zertifikate ab Juni 2025 ändern – und was Sie jetzt tun sollten.
Was ist das CA/Browser Forum?
Das CA/Browser Forum ist ein internationales Gremium, das sich aus den führenden Browser-Herstellern (wie Google, Mozilla, Microsoft und Apple) sowie Zertifizierungsstellen (CAs – Certificate Authorities) zusammensetzt. Dieses Forum definiert die internationalen Regelungen für SSL/TLS- und S/MIME-Zertifikate, um die digitale Sicherheit im Internet zu gewährleisten.
Warum ist das wichtig?
Ohne klare Standards könnten sich Zertifikate in Struktur und Inhalt unterscheiden, was zu Inkompatibilitäten und Sicherheitsrisiken führen könnte. Das CA/Browser Forum (CA/B) sorgt durch verbindliche Vorgaben dafür, dass Zertifikate weltweit einheitlich, sicher und vertrauenswürdig sind. Verbindlich sind sie deshalb, weil nur Zertifikate von den Browsern und E-Mail-Anbietern akzeptiert werden, die diesen Anforderungen entsprechen.
Vor Kurzem hat das CA/B die S/MIME Baseline Requirements verschärft – ein Regelwerk, das die Vorgaben für S/MIME-Zertifikate im Internet definiert. Diese Änderungen müssen nun von allen Zertifizierungsstellen (einschliesslich SwissSign) umgesetzt werden.
Was ändert sich konkret?
Verkürzung der maximalen Laufzeit von S/MIME-Zertifikaten
-
Die maximale Laufzeit eines S/MIME-Zertifikats wird von drei auf zwei Jahre verkürzt.
-
Grund: Kürzere Laufzeiten erhöhen die Sicherheit, da kompromittierte Zertifikate oder solche mit veralteten Einträgen ersetzt werden und moderne Kryptografie-Algorithmen sich schneller verbreiten (Stichwort: Crypto-Agilität).
Obligatorische Angabe von Vor- und Nachnamen oder Pseudonym in E-Mail-Gold-Zertifikaten
-
Bisher konnten diese Angaben optional sein, nun müssen sie zwingend als separate Attribute hinterlegt werden:
-
givenName (gn): Vorname des Zertifikatshalters
-
surname (sn): Nachname des Zertifikatshalters
-
Alternativ: Statt Vor- und Nachname kann auch ein Pseudonym hinterlegt werden
-
-
Warum? Diese Änderung stellt sicher, dass Zertifikate verlässlicher einer Person zugeordnet werden können.
Verbot zusätzlicher Attribute im Subject Distinguished Name (SDN)
-
Die S/MIME Baseline Requirements definieren pro Zertifikats-Typ einen Satz typischer (und erlaubter) Attribute im Namensfeld, dem "Subject Distinguished Name" (SDN).
-
Bisher waren teilweise auch zusätzliche Attribute erlaubt, sofern sie überprüft waren. Neu muss sich SwissSign immer auf die vorgegebenen Attribute beschränken.
-
Dieses Verbot betrifft insbesondere das Attribut "UserID" (UID), welches bisher optional in SwissSign-Zertifikaten mit Client-Authentisierung gesetzt werden durfte.
-
Hintergrund: Durch die Beschränkung auf eine vorgegebene Menge an Namens-Attributen wird die Interoperabilität sichergestellt.

Sie nutzen bereits S/MIME-Zertifikate? Unsere Empfehlung
Setzen Sie die neuen Anforderungen frühzeitig um, um von den verbesserten Sicherheitsstandards zu profitieren und mögliche Probleme bei der automatisierten Ausstellung von Zertifikaten zu vermeiden.
Insbesondere wenn Sie über Ihre Managed PKI mittels automatisiertem System (E-Mail Gateway oder Certificate Lifecycle Management System) S/MIME-Zertifikate beziehen, dann stellen Sie bitte sicher, dass
-
keine Laufzeit von drei Jahren konfiguriert wird und
-
bei Zertifikaten mit Namenseintrag (Pro S/MIME E-Mail ID Gold) "givenName" und "surname" als separate Attribute bei der Anfrage mitgegeben werden.
Für weitere Fragen steht Ihnen das SwissSign-Team gerne unter +41 848 77 66 55 oder [email protected] zur Verfügung.